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前 


随 着 信息 技术 的 迅速 发 展 ， 形 形 色 色 的 互联 网 应 用 已 经 成 为 我 们 日 常生 活 不 可 分 割 的 部 分 。 云 计算 已 经 改变 I 资源 部 署 、 配 置 和 管理 的 方式 ， 服 务 供应 商 向 着 “一 切 强 服务 ”交付 模式 努力 。 用 户 享 受 
通过 将 基础 设施 扩展 并 作为 服务 使 用 带 来 的 高 效 、 便 捷 ， 服 务 供应 商 通过 云 生 态 环境 能 够 向 用 户 提 供 更 高 价值 的 服务 。 


这 一 切 背 后 都 有 着 庞大 的 IT 系统 做 支撑 ， 作 为 负责 保障 稳定 运行 的 运 维 工作 所 面临 的 挑战 越 来 越 大 。 传 统 的 人 工 运 维 方式 已 经 无 法 满足 业务 的 发 展 需求 ， 需 要 从 流程 化 、 标 准 化 、 自 动 化 去 构建 运 维 体 
系 。 随 着 DevOps 运 动 的 兴起 ， 运 维 人 员 、 研 发 人 员 、 质 量 控制 人 员 都 从 更 大 范围 来 看 待 自己 的 工作 ， 打 破 运 维 、 研 发 之 间 的 壁垒， 进行 相互 渗透 、 融 合 。DevOps 项 目 在 数量 和 体 量 上 持续 增长 ， 支 撑 持 续 
集成 、 持 续 交 付 的 自动 化 工具 不 断 涌现 。 


Ansible 是 DevOps 项 目 基 础 支撑 工具 之 一 ， 是 第 一 款 实现 读 / 写 跨 平 台 的 “Infrastructure-as-code” 工 具 ， 从 系统 管理 者 到 开发 者 ， 都 可 使 用 Ansible 自 动 化 部 署 并 维护 整个 应 用 的 生命 周期 ， 实 现 桂 续 交 付 。 


Ansible 是 Github 上 最 热门 的 开源 自动 化 工具 之 一 ， 当 前 已 经 超过 1000 人 为 Github 上 的 Ansible 做 过 贡献 。2013 年 笔者 创建 的 “Ansible 中 国 用 户 组 ”QQ 群 ( 群 号 : 142851673) 也 相当 活跃 ， 当 前 专业 会 员 已 


超过 1000 人 。 


本 书 将 带领 读者 探索 Ansible 自 动 化 运 维 的 神奇 之 旅 ， 为 运 维 工作 节省 时 间 、 节 约 成 本 ， 并 支持 云 环境 应 用 部 署 。 


读者 对 象 
本 书 主要 读者 对 象 包括 : 
“IT 运 维 人 员 、 系 统管 理 员 、 企 业 网 管 。 


“ 运营 开发 人 员 、 应 用 部 署 人 员 。 
系统 架构 师 。 


“大专 院 校 的 计算 机 专业 学 生 。 


主要 内 容 


本 书 是 笔者 在 多 年 的 学 习 、 研 究 、 实 践 的 基础 上 ， 对 Anisble 进 行 系统 的 总 结 和 梳理 ， 其 中 既 包 括 对 Ansible 基 础 知识 的 详细 讲解 ， 又 包括 日 常 运 维 工 作 中 典型 应 用 场景 的 实践 案例 ， 还 介绍 Anisble 业 界 丰 
富 的 进展 和 发 展 趋势 。 本 书 的 实践 案例 和 脚本 ， 可 以 在 实验 和 生产 环境 中 针对 本 书 描述 的 场景 进行 复制 和 使 用 。 


本 书 的 目标 是 介绍 如 何 较 好 地 使 用 Anisble， 从 初始 的 命令 行 开始 ， 到 编写 playbooks， 再 到 管理 大 型 、 复 杂 的 环境 ， 最 后 介绍 如 何 构建 自己 的 模块 、 编 写 插件 扩展 Ansible 增 加 新 的 功能 。 对 于 新 手 来 说 ， 
本 书 提供 了 关于 自动 化 运 维 的 具体 操作 实战 。 对 有 经 验 的 维护 人 员 来 说 ， 本 书 提供 了 如 何 把 Ansible 与 具体 应 用 相 结合 ， 讲 解 Ansible 的 最 佳 实践 。 对 于 产品 专家 来 说 ， 本 书 介绍 了 如 何 扩展 Ansible 自 动 化 运 维 
工具 手段 ， 讨 论 Ansible 如 何 与 其 他 系统 的 交互 才能 提供 可 满足 最 终 用 户 需求 的 集成 解决 方案 。 


本 书 主体 包括 14 章 。 各 章 可 以 独立 阅读 ， 但 对 于 还 没有 大 规模 应 用 经 验 的 新 手 ， 建 议 按照 顺序 、 循 序 渐进 阅读 。 

本 书 第 1、2、7、11~13 章 由 陈 金 窗 编写 ， 第 3~6、8~10、14 章 、 附 录 由 沈 灿 编写 ， 最 后 由 刘 政 委 进行 校 审 。 由 于 笔者 的 水 平 有 限 ， 编 写 时 间 仓 促 ， 且 自动 化 运 维 方兴未艾 ，Ansible 当 前 仍 处 于 快速 发 展 
之 中 ， 因 此 书 中 内 容 难 免 会 出 现 一 些 错误 或 不 准确 的 地 方 ， 居 请 读者 评判 指正 、 不 识 赐 教 。 
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第 1 章 Ansible 架 构 及 特点 


IT 行业 的 工作 变 得 越 来 越 有 趣 了 ， 我 们 不 再 是 把 软件 交付 给 客户 ， 然 后 安装 在 单独 的 服务 器 上 运行 ， 我 们 都 慢 慢 地 变 成 了 系统 工程 师 。 

我 们 现在 部 署 应 用 软件 的 方式 是 通过 服务 串联 起 来 ， 运 行 在 一 系列 分 布 式 的 计算 资源 上 并 用 各 种 不 同 的 网 络 协议 进行 通信 。 常 见 的 应 用 包括 Web 服 务 、 应 用 服务 、 基 于 内 存 的 缓存 服务 系统 、 任 务 队 
列 、 消 息 队 列 、SQL 数 据 库 、NoSQL 数 据 存 储 、 负 载 均衡 等 。 

我 们 也 需要 确保 采用 合适 的 宛 余 ， 当 故障 发 生 时 软件 系统 能 够 很 好 地 处 理 、 适 应 这 些 故障 。 男 外 有 些 辅 助 的 服务 需要 部 署 、 维 护 ， 例 如 日 志 管理 、 监 挖 系统 、 分 析 系 统 ， 需 要 与 第 三 方 服务 交互 ， 如 通 
过 与 1aaS 接 口交 互 来 管理 虚拟 主机 实例 。 

你 可 以 用 手动 方式 来 搭建 这 些 服务 : 安装 服务 器 操作 系统 ，SSH 登 录 每 一 人 台 ， 安 装 软 件 包 ， 编 辑 配 置 文件 ， 等 等 。 这 种 方式 耗费 大 量 时 间 还 经 常 出 错 ， 特 别 是 在 做 了 3~4 次 之 后 ， 这 枯燥 重复 的 手工 劳动 
是 令 人 非常 痛苦 的 。 对 于 更 复杂 的 任务 ， 比 如 在 你 应 用 环境 中 搭建 一 个 OpenStack 云 环境 ， 由 手工 来 操作 会 让 人 发 疯 。 应 有 更 好 的 方法 。 

如 果 你 读 到 这 里 ， 你 可 能 已 经 有 了 配置 管理 的 思想 ， 并 考虑 采用 Ansible 做 为 你 的 配置 管理 工具 。 无 论 你 是 一 个 开发 人 员 想 要 把 代码 部 署 到 生产 环境 ， 还 是 一 个 系统 管理 员 寻 找 更 好 的 自动 化 方法 。 我 觉 
得 Ansible 对 于 这 些 问 题 都 是 很 好 的 解决 方案 。 


1.1 Ansible 软 件 及 公司 


IT 自动 化 配置 管理 最 近 20 年 获得 了 迅猛 的 发 展 ， 特 别 最 近 几 年 在 移动 互联 、 云 计算 、 大 数据 、 互 联网 + 等 大 规模 应 用 平台 的 需求 推动 下 ， 涌 现 出 一 批 成 熟 的 大 规模 自动 化 运 维 工 具 。 维 基 百 科 里 列 出 了 
二 十 多 个 ， 其 中 Puppet、Chef 和 Salt， 以 及 CFEngine、Vagrant 和 NixOS， 大 家 都 可 能 耳熟能详 了 。 不 过 后 起 之 秀 Ansible (http://www.ansible.com/) 的 人 气 更 高 ， 已 经 是 当今 最 常用 的 管理 基础 架构 
的 开源 管理 工具 之 一 。 


从 开源 仓库 GitHub 上 受到 使 用 者 、 开 发 者 的 关注 度 、 加 星 、 贡 献 、 评 论 ( 见 表 1-1) 可 以 看 出 ，Ansible 的 受 欢 迎 程度 的 数据 已 经 远 远 超过 Puppet、Chef、CFEngine、SaltStack。 


A14 GitHub 上 开源 自动 化 工具 受 关注 程度 信息 表 (截至 2015 年 8 月 30 日 ) 
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Ansible 自 从 2012 年 2 月 发 布 以 来 ， 一 直 得 到 Ansible 爱 好 者 、 用 户 、 开 发 者 的 热情 参与 、 持 续 贡 献 ， 如 图 1-1 所 示 。 


Feb 5, 2012 — Aug 29, 2015 
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图 1-1 Ansible 受 贡献 者 的 支持 趋势 


Ansible 使 用 Python 作为 开发 语言 ， 巧 妙 地 设计 、 实 现 了 简单 易 用 、 功 能 强大 的 自动 化 管理 工具 。Ansible 由 Michael DeHaan 发 起 、 开 发 、 创 建 ， 他 同时 也 是 著名 工具 软件 Cobbler 与 Func 的 开发 者 。 
Ansible 的 第 一 个 版 本 发 布 于 2012 年 2 月 ， 目 前 下 载 量 已 经 超过 了 100 万 。 当 前 在 GitHub 上 ， 它 是 排名 前 10 位 的 Python 项 目 ， 可 以 预见 Ansible 的 发 展 不 可 限量 。 


Ansible 已 经 广泛 应 用 于 各 种 规模 、 各 个 领域 的 企业 ， 包 括 Rackspace、Twitter、Evernote、NASA、GoPro、Atlassian 等 知名 企业 。 


1.2 Ansible 架 构 模式 


Ansible 维 护 模式 通常 由 控制 机 和 被 管 机 组 成 。 控 制 机 是 用 来 安装 Ansible 工 具 软 件 、 执 行 维护 指令 的 服务 器 或 工作 站 ， 是 Ansible 维 护 的 核心 。 被 管 机 是 运行 业务 服务 的 服务 器 ， 由 控制 机 通过 SSH 来 进 
行 管理 。 


1.3 Ansible 特 性 


Ansible 是 基于 一 致 性 、 安 全 性 、 高 可 靠 性 设计 的 轻 量 级 自动 化 工具 ， 具 有 功能 强大 、 部 署 便捷 、 描 述 清晰 等 特性 。 对 于 管理 员 、 开 发 者 、|IT 经 理 等 都 容易 上 手 ， 学 习 曲 线 较 低 ， 能 够 快速 理解 、 掌 握 
Ansible 的 自动 化 体系 ， 满 足 不 同 技术 级 别 的 用 户 需求 。 


同时 Ansible 是 一 款 满足 当代 大 规模 、 复 杂 环境 的 |T 基 础 架构 自动 化 管理 的 工具 。Ansible 相 对 与 其 他 自动 化 解决 方案 ， 在 核心 能 力 上 效率 更 高 。 也 很 好 地 解决 了 统一 配置 、 统 一 部 署 、 流 程 编排 等 复杂 
的 IT 自动 化 管理 问题 。 下 面 就 介绍 其 功能 特性 以 及 与 其 他 工具 的 对 比 。 


14 Ansible 与 DevOps 


本 节 简 要 介绍 下 DevOps (Development 和 Operations 的 组 合 ) 。DevOps 是 一 组 过 程 、 方 法 与 系统 的 统称 ， 用 于 促进 软件 开发 (应 用 程序 /软件 工程 ) 、 技 术 运 营 和 质量 保障 (QA) 部门 之 间 的 沟 
通 、 协 作 与 整合 ， 如 图 1-6 所 示 。 


DevOps 概 念 的 引入 能 对 产品 交付 、 测 试 、 功 能 开发 和 维护 (包括 常见 的 “ 热 补丁 ”) 起 到 意义 深远 的 影响 。 在 缺乏 DevOps 能 力 的 组 织 中 ， 开 发 与 运营 之 间 存 在 着 信息 “鸿沟 ” ， 例 如 运营 人 员 要 求 更 
好 的 可 靠 性 和 安全 性 ， 开 发 人 员 则 希望 基础 设施 响应 更 快 ， 而 业务 人 员 的 需求 则 是 更 快 地 将 更 多 的 特性 发 布 给 最 终 用 户 使 用 。 这 种 信息 鸿沟 就 是 最 常 出 问题 的 地 方 。 


Wr 
软件 工程 师 


图 1-6 ”DevOps 的 涉及 范围 


需要 频繁 交付 的 单位 更 需要 具有 DevOps 能 力 ， 大 量 互联 网 在 线 移动 应 用 随时 根据 用 户 的 反馈 进行 迁 代 开发 持续 改进 用 户 体验 ， 这 需要 能 够 支撑 业务 部 门 每 天 可 能 都 有 几 次 、 几 十 次 部 署 的 需求 。 这 
种 能 力也 称 为 持续 部 署 ， 并 上 经 常 与 精益 创业 方法 联系 起 来 。 下 面 几 个 因素 促使 引入 DevOps: 


“ 使 用 敏捷 或 其 他 软件 开发 过 程 与 方法 。 


“ 业务 负责 人 要 求 加 快 产品 交付 的 速度 。 


“ 虚拟 化 和 云 计算 基础 设施 日 益 普遍 。 


“ 数据 中 心 自动 化 技术 和 配置 管理 工具 的 普及 。 


DevOps 将 使 开发 团队 与 运营 团队 之 间 更 具 协 作 性 、 更 高 效 的 关系 。 由 于 团队 间 协 作 关系 的 改善 ， 整 个 组 织 的 效率 因此 得 到 提升 ， 伴 随 频繁 变化 而 来 的 生产 环境 的 风险 也 能 得 到 降低 。 团 队 之 间 相 互 融 
合 ， 运 维 从 开发 流程 的 计划 阶段 就 参与 进来 ， 运 维 团队 就 能 了 解 将 要 开发 的 产品 ， 同 时 可 以 在 让 产品 开发 设计 初期 就 考虑 后 期 运 维 的 需求 。 


DevOps 成 功 的 关键 有 如 下 因素 : 


“ 文化 建设 。 首 先 要 调动 开发 和 运营 部 门 之 间 的 协作 ， 鼓 励 运营 人 员 采 纳 软 件 开发 方法 ， 利 用 云 计算 基础 设施 来 完成 测试 和 代码 部 署 。 其 次 在 软件 开发 、 测 试 、 质 量 保障 、 集 成 、 预 生产 和 生产 部 署 等 
方面 必须 打 散 小 团队 ， 更 好 地 整合 开发 和 运营 人 员 。 例 如 ， 在 讨论 运营 解决 方案 或 扰乱 事后 评估 报告 时 应 该 邀请 开发 人 员 加 入 。 相 反 地 ， 应 该 邀请 运营 人 员 列 席 开发 人 员 规 划 会 议 。 让 交叉 组 合 的 工作 模式 
成 为 制度 ， 可 以 让 团队 之 间 合 作 融 洽 ， 消 除 沟通 不 畅 导 致 的 延误 或 琉 忽 ， 使 DevOps 的 推进 更 加 有 效 。 有 时 可 以 运用 岗位 轮换 或 者 知识 共享 的 方法 。 


“ 自动 化 工具 支撑 。 要 超越 文化 的 影响 ， 组 织 还 必须 依靠 各 种 DevOPps 工 具 。 例 如 ， 开 发 人 员 编写 代码 需要 工具 ，QA 测 试 人 员 需 要 用 工具 完成 新 版 软件 的 部 署 ， 环 境 准 备 、 将 新 代码 在 测试 系统 和 生产 
系统 之 间 迁 移 也 必须 用 到 云 资源 调度 工具 。 


现在 已 经 有 了 大 量 的 自动 化 工具 ， 但 都 是 在 某 些 领域 或 某 个 领域 做 得 好 。 运 营 工 具 厂 商 有 BMC、CA 和 XebiaLabs 等 公司 ， 软 件 开发 工具 厂家 有 IBM、Electric Cloud, Serena Software 等 公司 ， 工 作 
流程 、 架 构 设 计 和 软件 发 布 工具 的 专业 供应 商 包括 Atlassian、CollabNet、Rally Software、ThoughtWorks、OpenMake 等 公司 。 评 估 供 应 商 时 ， 除 了 对 基本 功能 考察 之 外 ， 还 需要 考虑 这 些 公司 随时 可 
能 会 被 并 购 ， 其 产品 可 用 性 和 未 来 发 展 也 会 因此 受 影响 。 


尽管 企业 IT 环境 中 的 应 用 各 种 各 样 ， 但 其 操作 系统 、 基 础 组 件 还 是 有 很 多 共性 的 。 手 动 安装 操作 系统 的 过 程 通常 需要 小 时 级 才能 交付 。 并 且 安装 系统 的 可 靠 性 完全 依赖 于 管理 人 员 的 工作 经 验 、 技 术 能 
力 、 对 复杂 过 程 操作 的 精确 程度 。 然 后 管理 员 需 要 对 这 些 系统 一 遍 又 一 遍地 重复 同样 的 过 程 ， 如 图 1-7 所 示 。 


虚拟 机 服务 器 OS 镜像 配置 服务 器 加 固 服务 器 


创建 VM | 启动 OS 安装 补丁 部 署 配 置 基 线 m 


系统 管理 员 系统 管理 员 。 系统 管理 员 系统 管理 员 信息 安全 员 


图 1-7 传统 工厂 运 维 方式 


也 可 能 让 其 他 团队 一 起 参与 进来 搭建 系统 ， 在 应 用 交付 团队 能 够 工作 之 前 ， 信 息 安全 团队 需要 验证 是 否 达 到 安全 基线 。 需 要 接触 系统 的 团队 越 多 ， 实 现 的 时 间 就 越 长 ， 也 就 更 加 可 能 延 时 和 增加 错误 方 
式 。 


服务 器 和 系统 还 比较 好 理解 、 容 易 自动 化 。 尽 管 你 当前 OS 搭 建 过程 有 很 多 需要 与 基础 环境 交互 ， 自 动 化 搭建 和 配置 过 程 将 按照 需要 能 够 重复 部 署 OS 镜 像 、 合 适 的 工具 ， 管 理 这 些 建 好 的 系统 将 与 创建 
一 个 新 的 一 样 简单 ， 这 样 这 些 系统 就 会 总 是 看 起 来 差不多 。 


一 旦 操作 系统 的 搭建 和 管理 自动 化 之 后 ， 把 这 些 自动 化 推广 到 其 他 团队 就 相对 容易 了 。 通 常客 户 搭建 一 个 0S， 如 研发 、 测 试 、QA 团 队 运行 他 们 的 应 用 时 ， 能 够 确保 总 是 运行 在 配置 合适 的 OS 之 上 。 
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图 1-8 Ansible 自 动 化 运 维 方式 


但 是 ， 仅 仅 搭建 系统 ， 就 忽略 了 更 困难 部 分 的 问题 了 : 如 何 保持 它们 整个 生命 周期 中 处 于 更 新 状态 ， 如 何 保证 当前 的 基本 需求 是 正确 的 ”这 再 一 次 需要 采用 自动 化 工具 来 管理 它们 之 间 的 差异 。 


过 去 传统 虚拟 机 (VM) 生命 周期 管理 方法 是 一 个 主要 问题 ， 需 要 独立 的 流程 来 维护 存在 的 虚拟 机 ， 许 多 交付 工具 都 对 在 线 运行 系统 的 更 新 、 变 更 缺乏 有 效 手段 。 


幸运 的 是 ， 借 助 服务 器 自动 化 搭建 和 维护 过 程 ， 可 大 大 减少 或 完全 消除 服务 器 手工 交付 的 过 程 ， 使 用 Ansible 作 为 自动 化 工具 ， 使 用 相同 的 playbook 来 搭建 系统 ， 就 能 够 保证 创建 出 来 的 系统 是 一 样 
的 。 


甚至 在 基础 架构 层 应 用 ， 也 可 以 自动 创建 、 交 付 、 管 理 ， 将 节省 大 量 的 时 间 ， 为 单位 的 扩展 团队 提供 额外 的 好 处 。 
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Ansible 关 键 的 想法 是 ， 开 发 一 个 好 的 自动 化 系统 ， 能 认识 到 计算 机 是 一 组 而 不 只 是 一 个 个 分 开 的 机 器 ， 也 就 是 所 谓 “多 层 编排 ”。 建 模 过 程 与 建 模 状态 同样 重要 。 不 按 传统 配置 管理 依赖 定制 代理 架构 
的 思路 ， 避 和 免 了 证 书 交 找 ， 以 及 反 向 解析 DNS 和 NTP 的 问题 。 黑 认可 插 拔 ， 人 人 都 可 以 很 容易 地 贡献 ， 因 此 Ansible 获 得 了 广泛 的 参与 和 采用 。 保 持 简单 〈 用 YAML 等 ) ， 制 定 计划 并 坚持 ， 然 后 乐观 其 成 。 


第 2 章 ”Ansible 安 装 与 配置 


上 一 章 已 经 介绍 过 Ansible 配 置 管理 系统 由 控制 主机 和 被 管 节 点 组 成 。Ansible 对 控制 主机 没有 太 多 要 求 ， 当 前 控制 主机 的 操作 系统 可 以 选用 Linux 或 OS 又 。 被 管 节点 的 要 求 更 少 ， 支 持 Linux、OS X、 类 


UNIX、Windows 等 类 型 的 主机 节点 ， 甚 至 支持 Cisco、Juniper 等 网 络 设备 、 负 载 均衡 器 。 


本 章 将 着 手 准备 Ansible 的 安装 环境 、 安 装 Ansible、 了 解 Ansible 基 本 配置 、 运 行 第 一 个 测试 应 用 。 


2.1 Ansible 环 境 准 备 


安装 前 的 准备 工作 包括 思考 如 下 一 些 内 容 : 
“ 从 哪里 获取 安装 软件 包 ? 
“ 需要 安装 哪些 支撑 软件 ? 
“ 安装 哪个 版 本 的 软件 ? 
“ 控制 主机 需要 做 哪些 准备 工作 ? 
:被 管 节点 需要 准备 什么 条 件 ? 


下 面 就 分 头 讲 讲 。 


1. 从 GitHub 获 取 Ansible 


Ansible 项 目 源码 放 在 GitHub 上 管理 ， 可 以 从 https://github.com/ansible/ansible 获 取代 码 。 也 可 以 从 这 里 了 解 到 Ansible 项 目的 最 新 进展 ， 跟 踪 Ansible 最 新 的 思想 和 bug 的 处 理 情况 。 


2. 不 需要 安装 支撑 软件 
有 数据 库 。 只 要 在 一 台 控 制 主 机 上 安装 好 ， 就 可 以 通过 这 台 主 机 管理 一 组 远 


Ansible 默 认 是 基于 SSH 协 议 进行 通信 和 的。 安装 Ansible 之 后 ， 控 制 主机 不 需要 启动 或 运行 任何 Ansible 的 后 台 进 程 ， 也 不 需 
程 节点 。 在 远程 被 管 节点 上 ， 同 样 也 不 需要 安装 、 运 行 任何 Ansible 特 有 的 软件 。 这 样 如 果 Ansible 版 本 需要 升级 ， 只 需 升 级 控制 主机 ， 不 涉及 被 管 节点 。 


3. 选 择 开发 版 本 


由 于 Ansible 基 于 简单 的 源码 运行 ， 不 必 在 被 管 节点 上 安装 特有 软件 ， 因 此 很 多 用 户 会 使 用 Ansible 的 开发 版 本 。 


Ansible 一 般 每 两 个 月 出 一 个 发 行 版 本 。 小 bug 一 般 在 下 一 个 发 行 版 本 中 修复 ， 并 在 稳定 分 支 中 用 backport (将 一 个 软件 的 补丁 应 用 到 比 此 补丁 所 对 应 的 版 本 更 老 的 版 本 的 行为 ) 方式 增加 补丁 。 大 bug 


将 会 在 必要 时 出 更 新 维护 版 本 ， 这 种 情况 很 少 出 现 。 


希望 使 用 Ansible 最 新 的 版 本 ， 并 且 使 用 的 操作 系统 是 RHEL、CentOS、Fedora、Debian、Ubuntu 等 ， 我 们 建议 使 用 系统 软件 包 管理 工具 安装 。 


另 有 一 种 选择 是 通过 pip 工 具 安 装 ，pip 是 一 个 安装 和 管理 Python 包 的 工 


如 果 希 望 使 用 开发 版 本 ， 需 要 使 用 、 测 试 最 新 的 功能 特性 ， 可 以 直接 下 载 源码 、 运 行 ， 源 码 程序 不 需要 安装 过 程 ， 直 接 可 以 使 用 。 


4 .准备 控制 主机 


只 要 主机 上 安装 了 Python 2.6 或 以 上 版 本 ， 就 可 以 运行 Ansible 配 置 工具 ，Windows 环 境 系统 当前 还 不 能 作为 控制 主机 。 控 制 主机 需要 有 下 面 这 些 组 件 : 


* Python 2.6 或 以 上 
* paramikod Je 

: Py YAML 

* Jinja2 

* httplib2 


控制 主机 的 系统 可 以 是 各 种 类 UNIX 操 作 系统 ， 如 Red Hat, Debian, CentOS, OS X、BSD 等 各 种 版 本 。 


5 .查看 被 管 节点 
被 管 节点 如 果 是 类 UNIX 系 统 ， 则 需要 安装 Python 2.4 或 以 上 版 本 。 但 如 果 版 本 低 于 Python 2.5， 则 需要 额外 安装 一 个 模块 : python-simplejson 模 块 。Ansible 的 raw 模 块 和 script 模 块 是 不 需要 
python-simplejson 模 块 支持 的 。 从 技术 上 讲 ， 可 以 通过 Ansible 的 raw 模 块 安装 python-simplejson， 之 后 就 可 以 使 用 Ansible 的 所 有 功能 了 。 


被 管 节点 如 果 是 Windows， 则 需要 有 PowerShell 3.0 并 授权 远程 管理 。 


管理 开启 SELinux 环 境 


如 果 被 管 节点 上 启用 了 SElinux， 需 要 安装 libselinux-python， 这 样 才 可 使 用 Ansible 中 与 copy/file/template 相 关 的 函数 。 可 以 通过 Ansible 的 yum 模 块 在 需要 的 托管 节点 上 安装 libselinux-python。 


关于 Python 版 本 
Python 3 与 Python 2 是 稍 有 不 同 的 语言 ， 而 大 多 数 Python 程序 还 不 能 在 Python 3 中 正确 运行 。 而 一 些 Linux 发 行 版 (Gentoo. Arch). A ZUR AR Python 2.X。 在 这 些 系统 上 ， 需 要 专门 安装 Python 2.X 解 释 


器 ， 并 把 资源 清单 (inventory) 中 的 ansible_python_intetrpreter 变 量 设 置 为 该 Python 2.X。 当 然 ， 也 可 以 使 用 raw 模 块 在 被 管 节点 上 远程 安装 Python 2.X。 


RHEL、CentOS、Fedora、Ubuntu 等 发 行 版 都 默认 安装 了 2.X 的 解释 器 ， 几 乎 所 有 的 UNIX 系 统 也 预 安装 了 。 


为 了 方便 读者 理解 ， 笔 者 通过 虚拟 化 环境 部 署 了 两 组 业务 功能 服务 器 来 进行 演示 。 笔 者 的 操作 系统 版 本 为 CentOS 7.0， 自 带 Python 2.7.5， 将 采用 下 一 节 介 绍 的 yum 方 式 安装 。 相 关 服 务 器 信息 如 表 2- 
1 所 示 (CPU 核 数 及 Web 根 目录 的 差异 化 便于 演示 生成 动态 配置 ) 。 


表 2-1 业务 环境 表 


me | sma | Pem | az | ooon | wenns 
EMEN vienna | 218110 | — o — d — 


本 章 后 续 的 安装 过 程 ， 也 根据 这 个 环境 来 进行 。 


2.2 ”安装 Ansible 


Ansible 的 安装 方式 非常 灵活 ， 满 足 各 种 环境 部 署 的 需求 。 一 般 可 以 直接 用 源码 进行 安装 ， 也 可 用 操作 系统 软件 包 管理 工具 进行 安装 ， 下 面 分 别 介绍 。 
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2.3.4 配置 Ansible 环 境 


Ansible 配 置 文件 是 以 ini 格 式 存储 配置 数据 的 ， 在 Ansible 中 ， 几 乎 所 有 的 配置 项 都 可 以 通过 Ansible 的 playbook 或 环境 变量 来 重新 赋值 。 在 运行 Ansible 命 令 时 ， 命 令 将 会 按照 预先 设 定 的 顺序 查找 配置 
文件 ， 如 下 所 示 : 


1) ANSIBLE CONFIG: 首先 ，Ansible 命 令 会 检查 环境 变量 ， 及 这 个 环境 变量 将 指向 的 配置 文件 。 


2) /ansible.cfg: 其 次 ， 将 会 检查 当前 目录 下 的 ansible.cfg 配 置 文件 。 


3) ~/.ansible.cfg: 再 次 ， 将 会 检查 当前 用 户 home 目 录 下 的 .ansible.cfg 配 置 文件 。 


4) /etc/ansible/ansible.cfg: 最 后 ， 将 会 检查 在 用 软件 包 管 理工 具 安装 Ansible 时 自动 产生 的 配置 文件 。 


Qus 


如 果 你 通过 操作 系统 软件 包 管 理工 具 或 pip 安 装 ， 那 么 你 在 /etc/ansible 目 录 下 应 该 已 经 有 了 ansible.cfg 配 置 文件 ; 如 果 你 是 通过 GitHub 仓 库 安 装 的 ， 在 你 复制 的 仓库 中 examples 目 录 下 可 以 找到 ansible.cfg， 
你 可 以 把 它 拷 贝 到 /etc/ansible 目 录 下 。 


1. 使 用 环境 变量 方式 来 配置 


大 多 数 的 Ansible 参 数 可 以 通过 设置 带 有 ANSIBLE 开头 的 环境 变量 进行 配置 ， 参 数 名 称 必须 都 是 大 写字 母 ， 如 下 配置 项 : 


export ANSIBLE SUDO USER-root 


设置 了 环境 变量 之 后 ，ANSIBLE_SUDO_USER 就 可 以 在 playbook 中 直接 引用 。 


2. 设 置 ansible.cfg 配 置 参 数 


Ansible 有 很 多 配置 参数 ， 你 也 许 不 会 都 使 用 到 。 下 面 列 出 常用 的 配置 参数 : 


这 个 参数 表示 资源 清单 inventory 文 件 的 位 置 ， 资 源 清单 就 是 一 些 Ansible 需 要 连接 管理 的 主机 列表 。 在 1.9 版 本 之 前 有 个 类 似 功 能 的 参数 hostfile， 但 1.9 版 本 之 后 就 不 建议 再 使 用 了 。 下 一 章 
将 对 资源 清单 做 详细 的 讲解 。 这 个 参数 的 配置 实例 如 下 : 


“ inventory- 


inventory = /etc/ansible/hosts 


“ library 一 一 Ansible 的 操作 动作 ， 无 论 是 本 地 或 远程 ， 都 使 用 一 小 段 代码 来 执行 ， 这 小 段 代码 称 为 模块 ， 这 个 library 参 数 就 是 指向 存放 Ansible 模 块 的 目录 。 配 置 实 例如 下 : 


library = /usr/share/ansible 


Ansible 支 持 多 个 目录 方式 ， 只 要 用 冒号 (: ) 隔 开 就 可 以 ， 同 时 也 会 检查 当前 执行 playbook 位 置 下 的 ./library 目 录 。 


- forks 设置 默认 情况 下 Ansible 最 多 能 有 多 少 个 进程 同时 工作 ， 软 认 设置 最 多 5 个 进程 并 行 处 理 。 具 体 需 要 设置 多 少 个 ， 可 以 根据 控制 主机 的 性 能 和 被 管 节点 的 数量 来 确定 ， 可 能 是 50 或 100， 黑 认 值 5 


是 非常 保守 的 设置 。 配 置 实例 如 下 : 


forks = 5 


- sudo_user 一 一 这 是 设置 默认 执行 命令 的 用 户 ， 也 可 以 在 playbook 中 重新 设置 这 个 参数 。 配 置 实例 如 下 : 


sudo user = root 


“ remote_port 一 这 是 指定 连接 被 管 节点 的 管理 端口 ， 默 认 是 22。 除 非 设置 了 特殊 的 SSH 端 口 ， 不 然 这 个 参数 一 般 是 不 需要 修改 的 。 配 置 实例 如 下 : 


remote port = 22 


* host_key_checking 一 一 这 是 设置 是 否 检查 SSH 主 机 的 密 钥 。 可 以 设置 为 True 或 False， 下 一 节 将 详细 介绍 。 配 置 实例 如 下 : 


host key checking = False 


“ timeout 一 一 这 是 设置 SSH 连 接 的 超时 间隔 ， 单 位 是 秒 。 配 置 实例 如 下 : 


timeout = 60 


“ log path 一 一 Ansible 系 统 默 认 是 不 记录 日 志 的 ， 如 果 想 把 Ansible 系 统 的 输出 记录 到 日 志文 件 中 ， 需 要 设置 log_ path 来 指定 一 个 存储 Ansible 日 志 的 文件 。 配 置 实例 如 下 : 


log path = /var/log/ansible.log 


另外 需要 注意 ， 执 行 Ansible 的 用 户 需要 有 写 入 日 志 的 权限 ， 模 块 将 会 调用 被 管 节点 的 syslog 来 记录 ， 口 令 是 不 会 出 现在 日 志 中 的 。 
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Ansible 安 装 完成 之 后 ,我 们 也 了 解 了 基本 配置 方式 ， 是 不 是 已 经 急切 要 动手 实践 一 下 Ansible? 下 面 我 们 将 介绍 主机 连通 性 测试 和 远程 执行 命令 两 个 小 场景 ， 体 会 一 下 Ansible 的 便捷 、 强 大 。 


首先 可 以 先 查看 一 下 安装 的 Ansible 软 件 版 本 信息 : 


$ansible --version 
ansible 1.9.2 
configured module search path = None 


2.5 ”获取 帮助 信息 


在 Ansible 1.9.2 版 本 中 有 8 个 主要 的 Ansible 管 理工 具 ， 每 个 管理 工具 都 是 一 系列 的 模块 、 参 数 支持 。 随 时 可 获取 的 帮助 信息 对 了 解 掌握 Ansible 系 统 非常 重要 。 对 于 Ansible 每 个 工具 ， 都 可 以 简单 地 在 
命令 后 面 加 上 -h 或 --help 直 接 获 取 帮 助 。 


例如 ， 列 出 ansible-doc 工 具 的 支持 参数 。 最 主要 的 参数 -| 列 出 可 使 用 的 模块 ，-s 列 出 某 个 模块 支持 的 动作 ， 如 下 所 示 : 


[root@ansiblecontrol]# ansible-doc -h 
Usage: ansible-doc [options] [modulehttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/...] 
Show Ansible module documentation 
Options: 

-—-version show program's version number and exit 

-h, --help show this help message and exit 

-M MODULE PATH, --module-path-MODULE PATH 

Ansible modules/ directory 


=l; --list List available modules 
-s, --snippet Show playbook snippet for specified module (s) 
-v Show version number and exit 


ansible-doc-| 列 出 Ansible 系 统 支 持 的 模块 ，Ansible 安 装 后 能 够 列 出 259 个 模块 ， 如 下 所 示 


$ ansible-doc -1 

less 458 (POSIX regular expressions) 

Copyright (C) 1984-2012 Mark Nudelman 

less comes with NO WARRANTY, to the extent permitted by law. 

For information about the terms of redistribution, 

see the file named README in the less distribution. 

Homepage: http://www.greenwoodsoftware.com/less 

al0 server Manage A10 Networks AX/SoftAX/Thunder/vThunderhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/0EBPS/Text/... 

al0 service group Manage A10 Networks AX/SoftAX/Thunder/vThunderhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/... 
al0 virtual server Manage A10 Networks AX/SoftAX/Thunder/vThunderhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/... 
acl Sets and retrieves file ACL information. 

add host add a host (and alternatively a group) to the http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/0EBPS/Text/... 
airbrake deployment Notify airbrake about app deployments 

alternatives Manages alternative programs for common commanhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/... 
apache2 module enables/disables a module of the Apache2 websehttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/... 
apt Manages apt-packages 

apt key Add or remove an apt key 


ansible-doc 直 接 加 模块 名 称 ， 将 显示 该 模块 的 描述 和 使 用 示例 ， 如 ansible-doc ping。 每 个 模块 都 有 一 系列 的 动作 ， 可 以 用 ansible-doc-s+ 模 块 名 称 列 出 ， 如 下 面 列 出 yum 模 块 的 动作 : 


$ ansible-doc -s yum 
less 458 (POSIX regular expressions) 
Copyright (C) 1984-2012 Mark Nudelman 
less comes with NO WARRANTY, to the extent permitted by law. 
For information about the terms of redistribution, 
see the file named README in the less distribution. 
Homepage: http://www.greenwoodsoftware.com/less 
- name: Manages pack age swith the I (yum) pac 
action: yum 


conf file 4 The remote yum configuration file to use for the 

disable gpg check # Whether to disable the GPG checking of signatures 
disablerepo # 'Repoid' of repositories to disable for the insta 
enablerepo * 'Repoid' of repositories to enable for the instal 

list * Various (non-idempotent) commands for usage with 

name- # Package name, or package specifier with version, 

state d Whether to install (‘present', "latest'), or remo 

update cache * Force updating the cache. Has an effect only if s 


另外 ， 在 Ansible 调 试 自动 化 脚本 时 候 经 常 需要 获取 执行 过 程 的 详细 信息 ， 可 以 在 命令 后 面 添 加 -v 或 -vvv 得 到 详细 的 输出 结果 。 如 : 


$ansible webservers -i inventory.cfg -m ping - vvv 


最 后 别 忘 了 经 常 浏览 官方 网 站 http://docs.ansible.com/， 其 中 有 详细 的 使 用 说 明 。 


26 ”本 章 小 结 


本 章 讲解 Ansible 在 不 同 环境 下 的 各 种 安装 方式 ， 以 及 安装 完成 之 后 对 系统 进行 必要 的 参数 配置 ， 对 安装 后 Ansible 的 基本 测试 ， 最 后 介绍 如 何 获取 Ansible 帮 助 的 工具 。 到 这 里 你 应 该 已 经 搭建 好 了 基本 的 


Ansible 测 试 环 境 ， 为 后 续 深入 学 习 Ansible 提 供 了 必要 的 基本 环境 。 


下 一 章 将 详细 介绍 Ansible 涉 及 的 一 些 基础 概念 ， 如 何 对 资源 清单 进行 管理 ， 引 入 变量 、 匹 配 模式 等 内 容 。 


第 3 章 ”Ansible 组 件 介绍 


经 过 前 面 2 章 的 介绍 ， 我 们 已 经 熟悉 了 Ansible 的 一 些 安装 与 简单 使 用 。 从 本 章 开始 我 们 将 全 面 介绍 Ansible 的 各 种 组 件 。 这 些 也 是 我 们 使 用 Ansible 的 过 程 中 必须 理解 的 知识 点 。 本 章 将 通过 介绍 和 讲解 


Ansible 日 常 中 经 常 使 用 的 一 些 组 件 ， 使 我 们 能 对 Ansible 有 一 个 全 面 的 了 解 。 


3.1 Ansible Inventory 


在 大 规模 的 配置 管理 工作 中 我 们 需要 管理 不 同业 务 的 不 同 机 器 ， 这 些 机 器 的 信息 都 存放 在 Ansible 的 Inventory 组 件 里 面 。 在 我 们 工作 中 配置 部 署 针 对 的 主机 必须 先 存放 在 Inventory 里 面 ， 这 样 才能 使 用 


Ansible 对 它 进行 操作 。 默 认 Ansible 的 Inventory 是 一 个 静态 的 INI 格 式 的 文件 /etc/ansible/hosts， 当 然 ， 还 可 以 通过 ANSIBLE_HOSTS 环 境 变 量 指定 或 者 运行 ansible 和 ansible-playbook 的 时 候 用 -i 参 数 临 
时 设置 。 


1. 定 义 主机 和 主机 组 


下 面 我 们 来 看 一 下 如 何在 默认 的 Inventory 文 件 中 定义 一 些 主机 和 主机 组 ， 具 体 如 下 : 


172.17.42.101  ansible ssh pass-'123456' 
172.17.42.102  ansible ssh pass-'123456' 
[docker] 

172.17.42.10[1:3] 

[docker:vars] 

ansible ssh pass-'123456' 
[ansible:children] 

docker 


0 ww 


“ 第 1 行 定义 了 一 个 主机 是 172.17.42.101， 然 后 使 用 Inventory 内 置 变量 定义 了 SSH 登 录 密码 。 
“ 第 2 行 定义 了 一 个 主机 是 172.17.42.102， 然 后 使 用 Inventory 内 置 变量 定义 了 SSH 登 录 密 码 。 
- 第 3 行 定 义 了 一 个 组 叫 docker。 

“ 第 4 行 定 义 了 docker 组 下 面 4 台 主 机 从 172.17.42.101 到 172.17.42.103。 

“ 第 5 行 到 第 6 行 针 对 docket 组 使 用 Inventory 内 置 变量 定义 了 SSH 和 登录 密码 。 


' 第 7 行 到 第 8 行 定义 了 一 个 组 叫 ansible， 这 个 组 下 面包 含 docker 组 。 


ansible_ssh_pass 参 数 是 Ansible Inventory 内 置 参数 ， 在 本 节 的 最 后 一 小 节 会 进行 相关 的 介绍 。Inventory 文 件 一 般 用 来 定义 远 端 主机 的 认证 信息 ， 比 如 SSH 登 录 密 码 、 用 户 名 以 及 key 相 关 信 息 。 当 
Inventory 文 件 也 支持 主机 或 者 主机 组 的 便利 定义 。 添 加 完 主机 和 主机 组 后 我 们 就 可 以 使 用 Ansible 命 令 针对 这 些 主机 进行 操作 和 管理 了 。 下 面 是 分 别针 对 不 同 的 主机 和 主机 组 进行 Ansible 的 ping 模 块 检 
ping 模 块 是 Ansible 中 一 个 连通 性 检测 的 模块 。 当 然 ，Ansible 还 内 置 大 量 的 其 他 模块 ， 后 续 章 节 我 们 也 会 慢 慢 接触 。 


[root@Master ~]# ansible 172.17.42.101:172.17 
172.17.42.101 | success >> {"changed": false, " 
172.17.42.102 | success >> {"changed": false, "pi 
[root@Master ~]# ansible docker -m ping -o 
172.17.42.101 | success >> {"changed": false, "pi 
172.17.42.103 | success >> {"changed": false, "pi 
172.17.42.102 | success >> {"changed": false, "pi 

[root@Master ~]# ansible ansible -m ping -o 

172.17.42.102 | success >> {"changed": false, "ping": "pong"] 
172.17.42.103 | success >> {"changed": false, "ping": "pong"} 
172.17.42.101 | success >> {"changed": false, "ping": "pong"} 


-0 


2. 多 个 Inventory 列 表 


通过 上 一 小 节 对 Inventory 的 介绍 ， 我 们 知道 Ansible 默 认 的 Inventory 文 件 是 一 个 INI 的 静态 文件 ， 其 实 Ansible 还 支持 多 个 Inventory 文 件 ， 这 样 我 们 就 可 以 很 方便 地 管理 不 同业 务 或 者 不 同 环境 中 的 机 


器 了 。 如 何 使 用 多 个 Inventoy 文 件 呢 ? 


首先 需要 修改 ansible.cfg 中 hosts 文 件 的 定义 ， 或 者 使 用 ANSIBLE_HOSTS 环 境 变量 定义 。 这 里 我 们 准备 一 个 文件 夹 ， 里 面 将 存放 多 个 Inventory 文 件 ， 如 以 下 目录 所 示 : 


[rootüMaster ~]# tree inventory/ 
inventory/ |—— docker | hosts 


不 同 的 文件 可 以 存放 不 同 的 主机 ， 我 们 来 分 别 看 一 下 文件 的 内 容 : 


[rootüMaster ~]# cat inventory/hosts 
172.17.42.101  ansible ssh pass-'123456' 
172.17.42.102  ansible ssh pass-'123456' 
[rootüMaster ~]# cat inventory/docker 
[docker] 

172.17.42.10[1:3] 

[docker:vars] 

ansible ssh pass-'123456' 
[ansible:children] 

docker 


最 后 我 们 修改 了 ansible.cfg 文 件 中 inventory 的 值 ， 这 里 不 再 指向 一 个 文件 ， 而 是 指向 一 个 目录 ， 修 改 如 下 : 


inventory = /root/inventory/ 


这 样 我 们 就 可 以 使 用 Ansible 的 list-hosts 参 数 来 进行 如 下 验证 : 


[rootüMaster ~]# ansible 172.17.42.101:172.17.42.102 --list-hosts 
172.17.42.101 
172.17.42.102 

[root@Master ~]# ansible docker --list-hosts 
172.17.42.101 
172.17.42.102 
172.17.42.103 

[root@Master ~]# ansible ansible --list-hosts 
172.17.42.101 
172.17.42.102 
172.17.42.103 


护 。 


3. 动 态 Inventory 


其 实 Ansible 中 的 多 个 Inventory 跟 单个 文件 没什么 区 别 ， 我 们 也 可 以 容易 定义 或 者 引用 多 个 Inventory， 甚 至 可 以 把 不 同 环境 的 主机 或 者 不 同业 务 的 主机 放 在 不 同 的 Inventory 文 件 里 | 


Ej 


， 方 便 日 后 维 


在 实际 应 用 部 署 中 会 有 大 量 的 主机 列表 。 如 果 手 动 维护 这 些 列表 将 是 一 个 非常 繁琐 的 事情 。 其 实 Ansible 还 支持 动态 的 Inventory， 动 态 Inventory 就 是 Ansible 所 有 的 Inventory 文 件 里 面 的 主机 列表 和 变 


量 信息 都 支持 从 外 部 拉 取 。 比 如 我 们 可 以 从 CMDB 系 统 和 Zabbix 监 控 系 统 拉 取 所 有 的 主机 信息 ， 然 后 使 用 Ansible 进 行 管理 。 这 样 一 来 我 们 就 可 以 很 方便 地 将 Ansible 与 其 他 运 维系 统 结合 起 来 。 关 于 引 
态 Inventory 的 功能 配置 起 来 也 很 简单 。 我 们 只 需要 把 ansible.cfg 文 件 中 inventory 的 定义 值 改 成 一 个 执行 脚本 即 可 。 这 个 脚本 的 内 容 不 受 任何 编程 语言 限制 ， 但 是 这 个 脚本 使 


脚本 执行 的 结果 也 有 要 求 。 这 个 脚本 需要 支持 两 个 参数 : 


“ --list 或 者 1， 这 个 参数 运行 后 会 显示 所 有 的 主机 以 及 主机 组 的 信息 (JSON 格 式 ) 。 


“ -host 或 者 -H， 这 个 参数 后 面 需要 指定 一 个 host， 运 行 结果 会 返回 这 人 台 主 机 的 所 有 信息 〈 包 括 认证 信息 、 主 机 变量 等 ) ， 也 是 JSON 格 式 。 


下 面 我 们 通过 一 个 简单 的 例子 了 解 动态 Inventory 实 现 流程 。 这 里 编写 了 一 个 简单 hosts.py 脚 本 ， 代 码 如 下 : 


用 动 


参数 时 有 一 定 的 规范 并 且 对 


#!/usr/bin/env python 
$ -*- coding: utf-8 -*- 
import argparse 
import sys 
import json 
def lists(): 
r= {} 
h=[ '172.17.42.10' + str(i) for i in range(1,4) ] 
hosts-[('hosts': h} 
r['docker'] = hosts 
return json.dumps (r,indent-4) 
def hosts (name): 
r = ('ansible ssh pass': '123456'] 
cpis-dict (r.items()) 
return json. dumps (cpis) 


if name  — ' main ': 
“parser = argparse. ArgumentParser() 
parser.add argument('-1', '--list', help-'hosts list', action-'store true!) 
parser.add argument (!-H', '--host', help-'hosts vars') 2 


args = vars(parser.parse args()) 
if args['list']: E 

print lists() 
elif args['host']: 

print hosts (args['host']) 
else: 

parser.print help() 


这 个 脚本 定义 了 两 个 函数 : lists 函 数 在 指定 --list 参 数 后 执行 ，hosts 函 数 会 在 指定 --host 参 数 后 执行 。 脚 本 的 每 个 函数 都 会 返回 一 个 JSON ， 运 行 结果 如 下 : 


[rootüMaster ~]# Python hosts.py --list 
{ 
"docker": { 
"hosts": [ 
"172.17.42.101", 
"172.17.42.102", 
"172.17.42.103" 


} 
} 
[root@Master ~]# python hosts.py -H 172.17.42.102 
{"ansible ssh pass": "123456"} 


这 里 定义 了 一 个 docker 组 目 组 里 定义 了 3 台 主 机 ， 然 后 定义 每 台 设 备 的 SSH 密 码 。ansible_ssh_pass 是 Inventory 内 置 的 参数 ， 下 一 节 会 详细 解释 。 最 后 我 们 来 执行 临时 指定 这 个 hosts.py 脚 本 ， 没 修改 


ansible.cfg 文 件 ， 运 行 结果 如 下 : 


[root@Master ~]# ansible -i hosts.py 172.17.42. 102: :172. 17.42.103 -m ping -o 
172.17.42.102 | success >> ("changed": false, : "pong"] 

172.17.42.103 | success >> ("changed": false, : "pong"] 
[rootGMaster ~]# ansible -i hosts.py docker -m ping -o 
172.17.42.101 | success >> {"changed": false, "ping": "pong"} 
172.17.42.102 | success >> {"changed": false, "ping": "pong") 
172.17.42.103 | success >> ("changed": false, "ping": "pong"} 


本 节 只 是 简单 地 编写 了 一 个 Inventory 脚 本 ， 希 望 读 者 能 理解 这 个 原理 ， 在 实际 工作 中 可 以 根据 自己 的 需求 编写 相应 的 脚本 。 目 前 官方 也 有 一 些 关 于 从 cobbler 和 AWS 获 取 


Inventory 脚 本 ， 有 兴趣 的 读者 可 以 自己 查阅 。 


4.Inventory 内 置 参数 


这 里 介绍 Ansible Inventory 内 置 的 一 些 参数 ， 这 些 参数 在 我 们 实际 工作 中 也 会 经 常 使 用 ， 我 们 可 以 直接 在 Inventory 文 件 中 定义 它 ， 


机 或 者 


机 组 相关 的 


当然 动态 的 Inventory 也 可 以 使 用 它 ， 如 表 3-1 所 示 。 


A34 Inventory 内 置 参数 


参数 例子 
ansible ssh host ansible ssh host=192.168.1.117 
ansible ssh port ansible ssh port=5000 
ansible ssh user ansible ssh user=yadmin 
ansible ssh pass ansible ssh user-'123456' 
ansible sudo 定义 hosts sudo H1 P ansible sudo-yadmin 
ansible sudo pass ansible sudo pass-'123456' 
ansible sudo exe ansible sudo exe-/usr/bin/sudo 


ansible connection 定义 hosts 连接 方式 ansible connection-local 


ansible ssh private 
key file root/key 


ansible shell type 定义 hosts shell 类 型 ansible shell type-zsh 


参数 


ansible python 


ansible ssh private key file-/ 


(5) 
例子 


ansible python interpreter-/ 


yh 执行 h ft 
定义 hosts 任务 执行 python 路 径 usr/bin/python2.6 


interpreter 


ansible ruby interpreter-/usr/ 


ansible * interpreter | 定义 hosts 其 他 语言 解析 器 路 径 
一 一 bin/ruby 


3.2 Ansible Ad-Hoc 命 令 


我 们 经 常会 通过 命令 行 的 形式 使 用 Ansible 模 块 ，Ansible 自 带 很 多 模块 ， 可 以 直接 使 用 这 些 模块 。 目 前 Ansible 已 经 自 带 了 259 个 模块 ， 我 们 可 以 使 用 ansible-doc-| 显 示 所 有 自 带 模块 ， 还 可 以 通过 
ansible-doc“ 模 块 名 ”， 查 看 模块 的 介绍 以 及 案例 。 需 要 注意 的 是 ， 如 果 使 用 Ah-hoc 命 令 ，Ansible 的 一 些 插件 功能 就 无 法 使 用 ， 比 如 loop facts 功 能 等 。 本 节 就 介绍 一 些 日 常 的 Ad-Hoc 命 令 。 


1 执行 命令 


Ansible 命 令 都 是 并 发 执行 的 ， 我 们 可 以 针对 目标 主机 执行 任何 命令 。 默 认 的 并 发 数目 由 ansible.cfg 中 的 forks 值 来 控制 。 当 然 ， 也 可 以 在 运行 Ansible 命 令 的 时 候 通过 -人 指定 并 发 数 。 如 果 碰 到 执行 任务 
时 间 很 长 的 情况 ， 也 可 以 使 用 Ansible 的 异步 执行 功能 来 执行 。 下 面 我 们 简单 地 测试 一 下 : 


[root@Master ~]# ansible docker -m shell -a 'hostname' -o 
172.17.42.101 | success | rc-0 | (stdout) 4b461620612a 
172.17.42.103 | success | rc-0 | (stdout) 703556924049 
172.17.42.102 | success | rc-0 | (stdout) 24e575b23394 
[rootéMaster ~]# ansible docker -m shell -a 'uname -r' -f 5 -o 
172.17.42.103 | success | rc-0 | (stdout) 3.10.5-3.e16.x86 64 
172.17.42.102 | success | rc-0 | (stdout) 3.10.5-3.e16.x86 64 
172.17.42.101 | success | rc-0 | (stdout) 3.10.5-3.e16.x86 64 


使 用 异步 执行 功能 ，-P 0 的 情况 下 会 直接 返回 ob_ id， 然后 针对 主机 根据 job_id 查 询 执行 结果 : 


[rootüMaster ~]# ansible docker -B 120 -P 0 -m shell -a 'sleep 10;hostname' -f 5 -o 

background launchhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/... 

172.17.42.103 | success »» ("ansible job id": "288872560652.1072", "results file": "/root/.ansible async/288872560652.1072", "started": 1) 
172.17.42.101 | success >> ("ansible job : 288872560652.1096", "results file" "/root/.ansible async/288872560652.1096", "started": 1) 
172.17.42.102 | success >> ("ansible job id": "288872560652.1097", "results file": "/root/.ansible async/288872560652.1097", "started": 1} 


每 台 主机 会 产生 不 同 的 job id， 可 以 通过 async_status 模 块 查看 异步 任务 的 状态 和 结果 : 


[root@Master ~]# ansible 172.17.42.101 -m async status -a 'jid-288872560652.1096' 
172.17.42.101 | success >> { H 

"ansible job id": "288872560652.1096", 

"changed": true, 

"cmd": "sleep 10;hostname", 

"delta": "0:00:10.010299", 

"end": "2015-06-07 12:01:02.553748", 

"finished": 1, 


ngote 0; 

"start": "2015-06-07 12:00:52.543449", 
"stderr": "", 

"stdout": "4b461620612a", 

"warnings": [] 


当 -P 参 数 大 于 0 的 时 候 ，Ansible 会 自动 根据 jod id 去 轮 询 查询 执行 结果 : 


[root@Master ~]# ansible docker -B 12 -P 1 -m shell -a 'sleep 5;hostname' -f 5 -o 
background launchhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/... 
172.17.42.103 | success >> j ig". " " ": "/root/.ansible async/9195868444.1102", "started": 1) 


i" 

172.17.42.101 | success >> (" 50m, "results file" : "/root/.ansible async/9195868444.1150", "started": 1] 

172.17.42.102 | success >> (" .1127", "results file": "/root/.ansible async/9195868444.1127", "started": 1) 

172.17.42.102 | success >> (" .1127", "changed": false, "finished": 0, "results file": "/root/.ansible async/9195868444.1127", "started": 1} 

172.17.42.103 | success >> (" .1102", "changed": false, "finished": 0, "results file": "/root/.ansible async/9195868444.1102", "started": 1] 
| {™ D 


172.17.42.101 success >> "9195868444.1150" 


"changed": false, "finished": 0, "results file": "/root/.ansible async/9195868444.1150", "started": 1} 


«job 9195868444. 
«job 9195868444. 
«job 9195868444. 


1127» polling on 172. 
1102» polling on 172. 
1150» polling on 172. 


17.42.102, 11s remaining 
17.42.103, 11s remaining 
17.42.101, 11s remaining 


172.17.42.101 | success >> {"ansible j "9195868444.1150", "changed": false, "finished": 0, "results file": "/root/.ansible async/9195868444.1150", "started": 1} 
172.17.42.102 | success >> ("ansible j JE "9195868444.1127", "changed": false, "finished": 0, "results file" "/root/.ansible async/9195868444.1127", "started": 1) 
172.17.42.103 | success »» ("ansible job id": "9195868444.1102", "changed": false, "finished": 0, "results file": "/root/.ansible async/9195868444.1102", "started": 1) 
«job 9195868444.1127» polling on 172.17.42.102, 10s remaining T T 
<job 9195868444.1102> polling on 172.17.42.103, 10s remaining 
<job 9195868444.1150> polling on 172.17.42.101, 10s remaining 
172.17.42.101 | success >> {"ansible_job_id": "9195868444.1150", : true, "sleep 5;hostname", "0:00:05.008892", "end": "2015-06-07 12:04:04.221857", "fi 
172.17.42.102 | success >> ("ansible job id' "9195868444.1127", true, sleep 5;hostname", "delta "0:00:05.016063", "end": "2015-06-07 12:04:04.156382", "fi 
172.17.42.103 | success >> ("ansible job id": "9195868444.1102", "changed": true, "cmd": "sleep 5;hostname", "delta": "0:00:05.017769", "end": "2015-06-07 12:04:04.151042", "fi 
«job 9195868444.1127» finished on 172.17.42.102 => ( 
"ansible job id": "9195868444.1127", 
"changed": true, 
"cmd": "sleep 5;hostname", 
"delta": "0:00:05.016063", 
"end": "2015-06-07 12:04:04.156382", 
"finished": 1, 
"invocation": ( 
"module args": "jid-9195868444.1127", 
"module name": "async status" 
r 
: "2015-06-07 12:03:59.140319", 
r 
"24e575b23394", 
"warnings": [] 
} 
<job 9195868444.1102> finished on 172.17.42.103 => { 
"ansible job id": "9195868444.1102", 
"changed": true, 
"cmd": "sleep 5;hostname", 
"delta": "0:00:05.017769", 
"end": "2015-06-07 12:04:04.151042", 
"finished": 1, 
"invocation": ( 
"module args": "jid-9195868444.1102", 
"module name": "async status" 
2015-06-07 12:03:59.133273", 
1 
"7030bb6924049", 
"warnings": [] 
} 
<job 9195868444.1150> finished on 172.17.42.101 => { 
"ansible job id": "9195868444.1150", 
"changed": true, 
"cmd": "sleep 5;hostname", 
"delta": "0:00:05.008892", 
"end": "2015-06-07 12:04:04.221857", 
"finished": 1, 
"invocation": ( 
"module args": "jid-9195868444.1150", 
"module name": "async status" 
] 
"por? Q 
"start": "2015-06-07 12:03:59.212965", 
"stderr nm. 
"stdout": "4b461620612a", 
"warnings": [] 
} 
2. 复 制 文件 
我 们 还 可 以 使 用 copy 模 块 来 批量 下 发 文件 ， 文 件 的 变化 是 通过 MD5 值 来 判断 的 ， 如 下 所 示 : 
[rootüMaster ~]# ansible docker -m copy -a 'src-hosts.py dest-/root/hosts.py owner=root group-root mode=644 backup-yes' -o 
172.17.42.103 | success >> ("changed": true, "checksum": "01800be332e6f2ff276e5a5e9c2a33c939c0388a", "dest": "/root/hosts.py", "gid": 0, "group": "root", " : "7434e7fe32€ 
172.17.42.101 | success >> ("changed": true, "checksum" 01800be332e6f2ff276e5a5e9c2a33c939c0388a", "dest" /root/hosts.py", "gid": 0, "group": "root", ™ "7434e7fe32€ 
172.17.42.102 | success >> ("changed": true, "checksum": "01800be332e6f2ff276e5a5e9c2a33c939c0388a", "dest": "/root/hosts.py", "gid": 0, "group": "root", "md5sum": "7434e7fe32€ 


我 们 再 来 验证 文件 下 发 功能 ， 如 下 所 示 : 


[rootüMaster ~]# ansible docker -m shell -a 'md5sum /root/hosts.py' -f 5 -o 


172.17.42.101 | success | rc-0 | (stdout) 7434e7fe32815562fd18e2e10457bd40 /root/hosts.py 
172.17.42.102 | success | rc-0 | (stdout) 7434e7fe32815562fd18e2e10457bd40 /root/hosts.py 
172.17.42.103 | success | rc-0 | (stdout) 7434e7fe32815562fd18e2e10457bd40 /root/hosts.py 


3. 包 和 服务 管理 


Ansible 还 支持 直接 使 用 Ad-Hoc 命 令 来 管理 包 和 服务 ， 如 下 所 示 : 


[root(Master-] ansible docker -m yum -a 'name-httpd state-latest' -f 5 -o 
[root@Master ~]# ansible docker -m service -a 'name-httpd state-started ' -f 5 -o 


172.17.42.101 | success >> {"changed": false, "name": "httpd", "state": "started") 
172.17.42.103 | success >> {"changed": false, "name "httpd", "state "started" } 
172.17.42.102 | success >> ("changed": false, "name": "httpd", "state": "started" } 


[root@Master ~]# ansible docker -m shell -a 'rpm -qa httpd' -f 5 -o 

172.17.42.101 | success | rc-0 | (stdout) httpd-2.2.15-39.e16.centos.x86 64 
172.17.42.102 | success | rc=0 | (stdout) httpd-2.2.15-39.e16.centos.x86 64 
172.17.42.103 | success | rc-0 | (stdout) httpd-2.2.15-39.e16.centos.x86 64 


验证 服务 运行 情况 : 


[root@Master ~]# ansible docker -m shell -a 'netstat -tpln|grep httpd' -f 5 


172.17.42.102 | success | rc=0 >> 

tcp 0 0 2:280 grit 
LISTEN 799/httpd 

172.17.42.101 | success | rc=0 >> 

tcp 0 0 :::80 HE 
LISTEN 798/httpd 

172.17.42.103 | success | rc=0 >> 

tcp 0 0 :::80 fip 
LISTEN 752/httpd 

4 .用户 管理 


首先 通过 openssI 命 令 来 生成 一 个 密码 ， 


因为 ansible user 的 password 参 数 需要 接受 加 密 后 的 值 ， 如 下 所 示 : 


[root@Master ~]# echo ansible | openssl passwd -1 -stdin 
$1$GPMku7yL$ .qu3NC2geUv0J.NvgfCiol 


然后 使 


user 模 块 批量 新 建 用 户 : 


[root@Master ~]# ansible docker -m user -a 'name-shencan password-"$1$GPMku7yL$.qu3NC2geUv0J.NvgfCiol"' -f 5 -o 


172.17.42.103 | success >> {"changed": true, "comment": "", "createhome true, "group": 500, "home": "/home/shencan", "name": "shencan", "password": "NOT LOGGING PASSWORD", "s 
172.17.42.102 | success >> ("changed": true, "comment" ", "createhome true, "group": 500, "home": "/home/shencan", " "shencan", "password": "NOT LOGGING PASSWORD", "s 
172.17.42.101 | success >> ("changed": true, "comment": "", "createhome": true, "group": 500, "home": "/home/shencan", "name": "shencan", "password": "NOT LOGGING PASSWORD", "s 


最 后 我 们 通过 SSH 登 录 来 验证 前 面 新 建 用 户 是 否 成 功 ， 密 码 就 是 前 面 的 ansible。 


[root@Master ~]# ssh 172.17.42.103 -1 shencan 
shencan0172.17.42.103's password: 
[shencan?703bb6924049 -]$ logout 

Connection to 172.17.42.103 closed. 


关于 Ansible 的 其 他 Ad-Hoc 模 块 或 者 模块 用 法 ， 可 以 通过 ansible-doc-l 和 ansible-doc 模 块 名 进行 查看 。 


3.3 Ansible playbook 


playbook 是 Ansible 进 行 配置 管理 的 组 件 ， 昌 然 Ansible 的 


的 工作 中 ， 大 部 分 时 间 都 是 在 编写 playbook， 这 是 Ansible 非 常 重要 的 组 件 之 一 ， 所 以 第 4 章 将 | 


3.4 Ansible facts 


facts 组 件 是 Ansible 


于 采集 被 管 机 器 设备 信息 的 一 个 功能 ， 我 们 可 以 使 


常 Ad-Hoc 命 令 功能 很 强大 ， 能 完成 一 些 基 本 配置 管理 工作 ， 但 是 Ad-Hoc 命 令 无 法 支撑 复杂 环境 的 配置 管理 工作 。 在 我 们 实际 使 用 Ansible 
一 整 章 的 篇 幅 来 详细 讲解 Ansible 的 playbook。 


setup 模 块 查 机 器 的 所 有 facts 信 息 ， 可 以 使 


中 ，ansible_facts 是 最 上 层 的 值 。 下 面 我 们 通过 实际 操作 来 简单 了 解 facts 的 数据 结构 : 


filter 来 查看 指定 信息 。 整 个 facts 信 息 被 包装 在 一 个 JSON 格 式 的 数据 结构 


[root@Master ~]# ansible 172.17.42.101 -m setup 
172.17.42.101 | success >> { 
"ansible facts": { 
"ansible all ipv4 addresses": [ 
We 
"172.17.42.101" 


, 
"ansible all ipv6 addresses": [ 
"fe80::42:acff:fell:2", 

"fe80::9093:d8ff:fe7d:f6d4" 


l; 


"ansible architecture": "x86 64", 
"ansible bios date" 2/01/2006", 
"ansible bios version "VirtualBox", 


"ansible cmdline": ( 
"KEYBOARDTYPE": "pc", 
"KEYTABLE": "us", 
"LANG": "zh CN.UTF-8", 


"crashkernel": "auto", 

"quiet": true, 

"rd LVM LV": "vg master/lv root", 
"rd NO DM": true, i 

"rd NO LUKS": true, 

"rd NO MD": true, 

"rhgb": true, 

"ro"; true, 

"root": "/dev/mapper/vg master-lv root" 


» 
一 一 -一 此 处 省 略 N 行 


所 有 的 数据 格式 都 是 JSON 格 式 ，facts 还 支持 查看 指定 信息 ， 比 如 下 面 只 查看 设备 的 ipv4 地 址 : 


[root@Master ~]# ansible 172.17.42.101 -m setup -a 'filter-ansible all ipv4 addresses' 


172.17.42.101 | success >> ( 
"ansible facts": ( 
"ansible all ipv4 addresses": [ 
7172,17.0.2", 
"172.17.42.101" 
] 
] 
"changed": false 


facts 组 件 默认 已 经 收集 了 很 多 的 设备 基础 信息 ， 这 些 信息 可 以 在 做 配置 管理 的 时 候 进 行 引 
信息 收集 ， 可 以 定制 facts 以 便 收集 我 们 想 要 的 信息 。 下 面 介绍 通过 facter 和 ohai 来 扩展 facts 信 息 。 


1. 使 用 facter 扩 展 facts 信 息 


使 
在 的 话 ，Ansible 的 facts 也 会 采集 facter 信 息 。 我 们 来 查看 以 下 机 器 信息 : 


E 


。 下 一 章 也 会 介绍 把 facts 信 息 直接 当 作 playbook 变 量 信息 进行 引用 。 后 面 章节 也 会 介绍 如 何 扩展 facts 进 行 


Puppet 的 读者 都 熟悉 facter 是 Puppet 里 面 一 个 负责 收集 主机 静态 信息 的 组 件 ，Ansible 的 facts 功 能 也 一 样 。Ansible 的 facts 组 件 也 会 判断 被 控制 机 器 上 是 否 安装 有 facter 和 ruby-json 包 ， 如 果 存 


[root@Master ~]# ansible 172.17.42.101 -m shell -a 'rpm -qa ruby-json facter' 
172.17.42.101 | success | rc=0 >> 

facter-1.6.18-8.e16.x86 64 

ruby-json-1.4.6-1.e16.x86 64 


然后 运行 facter 模 块 查看 facter 信 息 : 


[rootüMaster ~]# ansible 172.17.42.101 -m facter 
172.17.42.101 | success >> ( 


"architecture": "x86 64", 
"Changed": false, zT 
"facterversion": "1.6.18", 
"hardwareisa": "x86 64", 
"hardwaremodel": "x86 64", 
"hostname": "4b461620612a", 
"id": "root", 

"interfaces": "eth0O,ethl,lo", 
"ipaddress": "172.17.0.2", 


"ipaddress eth0 "172.17.0.2", 
"ipaddress ethl": "172.17.42.101", 
"ipaddress lo": "127.0.0.1", 

"is virtual": "true", 


"kernel": "Linux", 


"kernelmajversion": "3.10", 
"kernelrelease": "3.10.5-3.e16.x86 64", 
mnczscc ECCE du ------—---———--—---- 


当然 ， 如 果 直 接 运 行 setup 模 块 也 会 采集 facter 信 息 ， 如 下 所 示 : 


[root@Master ~]# ansible 172.17.42.101 -m setup 


91.48 MB", 
024.00 MB", 


"facter swapfree 
"facter swapsize 
"facter timezone 
"facter uniqueid 
"facter uptime": 
"facter uptime days 
"facter uptime hours": 8, 
"facter uptime seconds": 31299, 
"facter virtual": "virtualbox", 
"module setup": true 


Fs 
"changed": false 


所 有 facter 信 息 在 ansible_ facts 下 以 facter 开头 ， 这 些 信息 的 引用 方式 跟 Ansible 自 带 facts 组 件 收集 的 信息 引用 方式 一 致 。 


2. 使 用 ohai 扩 展 facts 信 息 


ohai 是 Chef 配 置 管理 工具 中 检测 节点 属性 的 工具 ，Ansible 的 facts 也 支持 ohai 信 息 的 采集 。 当 然 需要 被 管 机 器 上 安装 ohaij 包 。 下 面 介 绍 ohai 相 关 信息 的 采集 : 


[root@Master ~]# ansible 172.17.42.1 -m shell -a 'gem list|grep ohai' 
172.17.42.1 | success | rc=0 >> 
ohai (8.4.0) 


如 果 主 机 上 没有 安装 ohai 包 ， 可 以 使 用 gem 方 式 进行 安装 。 如 果 存 在 ohai 包 ， 可 以 直接 运行 ohai 模 块 查看 ohai 属 性 : 


[rootüMaster ~]# ansible 172.17.42.1 -m ohai 
172.17.42.1 | success >> { 


A 
me": 1433689885.3133919, 

"os": "linux", 

"os version": "3.10.5-3.e16.x86 64", 
"platform": "centos", 
"platform family": "rhel", 

"platform version": "6.5", 

"root group": "root", 

"uptime": "9 hours 00 minutes 06 seconds", 
"uptime seconds": 32406, 

"virtualization": ( 


"system" 
"systems": ( 
"vbox": "guest" 


} 


如 果 直 接 运 行 setup 模 块 ， 也 会 采集 ohai 信 息 : 


[rootüMaster ~]# ansible 172.17.42.1 -m setup 
172.17.42.1 | success >> ( 
"ansible facts": { 


Eccc) JG REA ENÉT--———-——-—--——- 
"ohai ohai time": 1433690048.8647399, 
"ohai os": "linux" 
"ohai os version": "3.10.5-3.e16.x86 64", 
"ohai platform": "centos", = 
"ohai platform family": "rhel", 
"ohai_platform version": "6.5", 
"ohai_root_group": "root", 
"ohai uptime": "9 hours 02 minutes 50 seconds", 


"ohai uptime seconds": 32570, 
"ohai virtualization": ( 


nrole” 
"system": "vbox", 
"systems": { 

"vbox": "guest" 


} 
} 
l 


"changed": false 


所 有 的 ohai 信 息 在 ansible facts 下 以 ohai 开头， 这 些 信 息 的 引用 方式 跟 Ansible 自 带 facts 组 件 收集 的 信息 引用 方式 一 致 。 


3.5 Ansible role 


Ansible 在 1.2 版 本 以 后 就 支持 了 role。 在 实际 工作 中 有 很 多 不 同业 务 需 要 编写 很 多 playbook 文 件 ， 如 果 时 间 一 久 ， 对 这 些 playbook 文 件 很 难 进行 维护 ， 这 个 时 候 我 们 就 可 以 采用 role 的 方式 管理 
playbook。 其 实 role 只 是 对 我 们 日 常 使 用 的 playbook 的 目录 结构 进行 一 些 规范 ， 与 日 常 的 playbook 没 什么 区 别 。 下 面 通过 一 个 案例 来 介绍 role 相 关 的 目录 规范 ， 如 下 所 示 : 


index.html | H handlers —— main.yaml L—— tasks | 


. — roles | L— nginx — files | 
7 directories, 6 files 


这 里 简单 了 定义 了 一 个 role， 它 的 主要 工作 就 是 配置 部 署 Nginx 服 务 。role 的 所 有 文件 内 容 都 在 nginx 目 录 下 。 跟 role 同 级 别 的 还 有 一 个 site.yaml 文 件 ， 这 个 文件 就 是 role 引 用 的 入 口 文件 ， 文 件 的 名 字 
可 以 随意 定义 。files 目 录 里 面 存放 一 些 静态 文件 ，handlers 目 录 里 面 存放 一 些 task 的 handler。tasks 目 录 里 面 就 是 我 们 平常 写 的 playbook 中 的 task。templates 目 录 里 面 存放 着 jinja2 模 板 文件 。vars 目 录 下 
存放 着 变量 文件 。 下 面 分 别 来 查看 每 个 文件 的 内 容 : 


[root@Master nginx]# cat site.yaml 
- hosts: 172.17.42.103 
roles: 
- ( role: nginx, version: 1.0.15 } 
[rootüMaster nginx]# cat roles/nginx/tasks/main.yaml 


- name: Install nginx package 
yum: name-nginx-(( version }} state-present 
- name: Copy nginx.conf Template 
template: src-nginx.conf.j2 dest-/etc/nginx/nginx.conf owner-root group-root backup-yes mode-0644 
notify: restart nginx 
- name: Copy index html 
Copy: src-index.html dest-/usr/share/nginx/html/index.html owner-root group-root backup-yes mode-0644 
- name: make sure nginx service running 
Service: name-nginx state-started 
[rootüMaster nginx]# cat roles/nginx/handlers/main.yaml 
- name: restart nginx 
service: name-nginx state-restarted 
[rootüMaster nginx]f cat roles/nginx/templates/nginx.conf.j2 |grep '\{{' 
worker processes {{ ansible processor cores ]); 
[rootüMaster nginx]# cat roles/nginx/files/index.html 
hello kugou 


上 面 介绍 了 Nginx role 的 所 有 文件 。 如 果 以 后 需要 对 role 进 行 修改 或 者 调整 ， 只 需 修 改 相应 的 文件 即 可 。 如 果 还 想 把 这 个 Nginx role 分 享 给 其 他 朋友 ， 也 只 需 把 整个 目录 分 享 即 可 。 下 面 执行 这 个 role: 


[rootüMaster nginx]# ansible-playbook -i /root/hosts site.yaml 
PLAY [172.17.42.103] XX oio E K A K A A E A A A EE EE KEK eie E A A K 


GATHERING FACTS * A A d A dk A AE A A A Ak A A K Ae A Ak E E E AE A E A A K e A K A eco A A A A A K 
ok: [172.17.42.103] 

TASK: [nginx | Install nginx package] **xeeeeceeeceooeeoeepoenooonoer 
changed: [172.17.42.103] 

TASK: [nginx | Copy nginx.conf Template] > aak dki iei k i A ak k A k k kkk k e 
changed: [172.17.42.103] 

TASK: [nginx | Copy index html] %3 e e ak k e K k e K e e K E AE K E E A E E K 
changed: [172.17.42.103] 

TASK: [nginx | make sure nginx service running] ** ed d deae ie de d dk e ekek k w 
changed: [172.17.42.103] 

NOTIFIED: [nginx | restart nginx] %3 a ii ie Aak k kA k e e K E A k K k k 
changed: [172.17.42.103] 


PLAY RECAP A44 )k dk d k AE E A Ae e A K e A E E Ae AAK RO 


172.17.42.103 : ok=6 changed=5 unreachable-0 failed-0 


role 执 行 完成 后 ， 通 过 curl 命 令 进行 Nginx 服 务 测试 。 


[root@Master nginx]# curl 172.17.42.103 
hello kugou 


role 文 件 的 内 容 还 是 比较 简单 的 ， 如 果 我 们 定义 一 个 role， 然 后 在 写 playbook 的 时 候 静 态 文 件 跟 jinja2 模 板 文件 直接 用 相对 路 径 就 行 ，Ansible 会 自动 去 相应 的 目录 下 寻找 相应 文件 。 另 外 ，role 不 会 关 
心 哪些 设备 使 用 它 ， 它 只 是 关于 一 个 功能 的 集合 ， 只 需要 编写 一 个 playbook 去 引用 即 可 。 比 如 上 面 的 site.yaml， 文 件 ， 它 就 是 一 个 简单 的 playbook 文 件 ， 里 面 有 目标 hosts 参 数 指定 目标 主机 ， 然 后 它 会 引 
一 个 role 参 数 去 调用 我 们 定义 的 role。 关 于 role 目 录 的 路 径 还 可 以 使 用 ansible.cfg 中 的 roles_path 进 行 指定 ， 也 可 以 引用 当前 目录 下 的 roles 目 录 。 


3.6 Ansible Galaxy 


Ansible 的 Galaxy 是 Ansible 官 方 一 个 分 享 role 的 功能 平台 ， 它 的 网 址 是 https://galaxy.ansible.com/list#/roles。 可 以 把 你 编写 的 role 通 过 ansible-galaxy 上 传 到 Galaxy 网 站 供 其 他 人 下 载 和 使 用 。 可 以 
通过 ansible-galaxy 命 令 很 简单 地 实现 role 的 分 享 和 安装 。 当 然 Ansible 也 支持 直接 从 GitHub 上 下 载 role。 在 我 们 使 用 ansible-galaxy 命 令 下 载 role 的 时 候 需要 了 解 role 的 运行 平台 和 Ansible 依 赖 版 本 以 及 相 
关 依赖 ， 等 等 。 日 常 工作 中 我 们 使 用 ansible-galaxy install 就 可 以 ， 默 认 会 安装 到 /etc/ansible/roles/ 目 录 下 ， 其 引用 跟 我 们 自己 写 的 role 引 用 方式 一 样 。 


37 本章 小 结 


通过 本 章 的 学 习 我 们 已 经 了 解 Ansible 一 些 常用 的 组 件 ， 并 对 Ansible Ad-Hoc 命 令 中 常用 的 几 个 命令 进行 了 演示 ， 我 们 还 介绍 了 Ansible playbook、facts、role、Galaxy 等 。 学 习 一 个 软件 ， 首 先 得 了 解 这 个 软 
件 的 一 些 常 用 组 件 ， 以 及 如 何 使 用 这 个 软件 。 下 一 章 将 介绍 Ansible 在 做 配置 管理 工作 中 最 重要 的 一 个 组 件 playbook。 


第 4 章 ” playbook 详解 


通过 第 3 章 的 学 习 我 们 已 经 对 Ansible 的 一 些 组 件 有 了 一 定 了 解 ， 也 知道 了 每 个 组 件 的 一 些 应 用 场景 ， 这 一 章 我 们 将 讲解 Ansible 最 核心 的 组 件 playbook。 大 家 都 知道 我 们 使 用 Ansible 很 大 一 部 分 工作 都 是 进 
行 配 置 管理 工作 。 在 实际 工作 中 我 们 也 会 去 大 量 编写 和 使 用 playbook， 作 为 Ansible 最 核心 的 功能 组 件 ， 本 章 也 会 通过 大 量 的 篇 幅 去 详细 讲解 playbook。 首 先 我 们 对 playbook 的 基础 语法 进行 了 解 ， 包 括 一 些 常 
用 的 ansible-playbook 命 令 参数 ， 然 后 会 详细 介绍 Ansible 的 变量 定义 以 及 如 何在 playbook 内 引用 变量 ， 接着 我 们 会 介绍 在 playbook 里 面 使 用 loops lookups conditionals， 最 后 我 们 还 会 介绍 关于 jinja2 模 板 的 一 些 常用 


filter. 


41 ”playbook 基 本 语法 


这 一 节 介绍 playbook 的 基本 语法 以 及 常用 命令 。 


Ansible 的 playbook 文 件 格式 为 YAML 语 法 ， 所 以 希望 读者 在 编写 playbook 之 前 对 YAML 语 法 有 一 定 的 了 解 ， 否 则 在 运行 playbook 的 时 候 会 经 常 碰 到 语法 错误 的 提示 。 这 里 只 介绍 nginx.yaml 这 个 
playbook， 关 于 YAML 语 法 的 介绍 可 以 通过 http://www.yaml.org/spec/1.2/spec.html#Syntax 网 站 进行 学 习 与 了 解 。 


下 面 我 们 通过 一 个 安装 部 署 Nginx 服 务 的 案例 开始 ， 首 先 我 们 来 看 这 个 playbook 代 码 : 


[root@python ~]# cat nginx.yaml 
1 
2  - hosts: all 
3 
4 


- name: Install Nginx Package 


yum: name-nginx state-present 
- name: Copy Nginx.conf 


5 
6 
zi template: src=./nginx.conf.j2 dest=/etc/nginx/nginx.conf owner=root group-root mode-0644 validate='nginx -t -c %s' 
8 
9 


notify: 
- ReStart Nginx Service 
10 handlers: 
11 - name: ReStart Nginx Service 
12 service: name-nginx state-restarted 


“ 第 1 行 表示 该 文件 是 YAML 文 件 ， 非 必须 。 


- 第 2 行 定义 该 playbook 针 对 的 目标 主机 ， 纠 表示 针对 所 有 主机 ， 这 个 参数 支持 Ansible Ad-Hoc 模 式 的 所 有 参数 。 


- 第 3 行 定义 该 playbook 所 有 的 tasks 集 合 ， 比 如 下 面 我 们 定义 的 3 个 task。 
' 第 4 行 定义 一 个 task 的 名 称 ， 非 必须 ， 建 议 根 据 task 实 际 任务 命名 。 


“ 第 5 行 定义 一 个 状态 的 action， 比 如 这 里 使 用 yum 模 块 实现 Nginx 软 件 包 的 安装 。 


- 第 6 行 到 第 9 行使 用 template 模 板 去 管理 /etc/nginx/nginx.conf 文 件 ，owner groub 定 义 该 文件 的 属 主 以 及 属 组 ， 使 用 validate 参 数 指 文 件 生成 后 使 用 nginx-t-c%s 命 令 去 做 Nginx 文 件 语法 验证 ，notify 是 触发 


handlers， 如 果 同 步 后 ， 文 件 的 MD5 值 有 变化 会 触发 ReStart Nginx Service 这 个 handler。 


' 第 10 行 到 第 12 行 是 定义 一 个 handler 状 态 让 Nginx 服 务 重启 ，handlet 的 名 称 是 ReStart Nginx Service。 


接 下 来 我 们 来 看 Inventory 的 hosts 主 机 文件 以 及 nginx.conf.j2 模 板 文件 的 内 容 : 


[root@python ~]# cat hosts 

[nginx] 

192.168.1.11[6:8] 

[nginx:vars] 

ansible python interpreter=/usr/bin/python2.6 
[root@python ~]# cat nginx.conf.j2 
Se T A Do Soie E--———------------------ 
worker processes {{ ansible processor cores }}; 


—€— 此 处 省 略 N 行 一 -------- 一 -一 -一 --- 


关于 hosts 文 件 这 里 定义 了 一 个 主机 组 为 Nginx， 组 内 包含 3 台 设备 ， 分 别 是 192.168.1.116、192.168.1.117、192.168.1.118， 然 后 指定 了 Nginx 组 的 一 个 变量 ansible_python_interpreter， 因 
器 上 可 能 有 多 个 Python 版 本 ， 所 以 这 里 特意 指定 了 一 个 Python 版 本 去 运行 。 关 于 nginx.confj2 文 件 就 是 一 个 默认 的 nginx.conf 文 件 ， 它 只 是 针对 Nginx 的 worker_processes 参 数 通过 facts 信 息 中 的 CPU 核 
心 数目 生成 ， 其 他 的 配置 都 是 默认 的 。 运 行 playbook 之 前 我 们 需要 确认 playbook 的 语法 信息 是 否 正确 。 


对 nginx.yaml 使 用 --syntax-check 参 数 playbook 语 法 检测 如 下 所 示 : 


为 目标 机 


[root(python ~]# ansible-playbook nginx.yaml --syntax-check 
playbook: nginx.yaml 


使 用 --list-task 参 数 显 示 nginx.yaml，playbook 文 件 中 所 有 的 task 名 称 如 下 所 示 : 


[root@python ~]# ansible-playbook nginx.yaml --list-task 
playbook: nginx.yaml 
play #1 (all): TAGS: [] 
Install Nginx Package TAGS: [] 
Copy Nginx.conf TAGS: [] 


使 用 --list-hosts 参 数 显 示 nginx.yaml，playbook 文 件 中 针对 的 目标 主机 如 下 所 示 : 


[root@python ~]# ansible-playbook nginx.yaml --list-hosts 
playbook: nginx.yaml 
play #1 (all): host count-3 
192.168.1.116 
192.168.1.117 
192.168.1.118 


确认 信息 都 正确 后 ， 直 接 使 用 以 下 命令 运行 下 nginx.yaml playbook: 


[root@python ~]# ansible-playbook -i hosts nginx.yaml -f 3 


PLAY [all] A A A F A A A AE AE E E OO E A A A A AE E EE E E R K A A A A E E E E E K A A K 
GATHERING FACTS 4k XXJ3c0kA X ook X KOC OROOOEOCKORROROIEOACIROROROECCIRROROOCIROROROK 
ok: [192.168.1.118] 

ok: [192.168.1.117] 

ok: [192.168.1.116] 

TASK: [Install Nginx Package] k ek ke Aak k ie k e E K e A K E A K E k K K 
changed: [192.168.1.116] 

changed: [192.168.1.117] 

changed: [192.168.1.118] 

TASK: [Copy Nginx.conf] *4X*x4xkxddekkokoioonkeonednoeogioopoeoooopoeoek 
changed: [192.168.1.118] 

changed: [192.168.1.117] 

changed: [192.168.1.116] 

NOTIFIED: [ReStart Nginx Service] *'eexeeeeeeceeooopoooeooeiookeoodnoeoek 
changed: [192.168.1.116] 

changed: [192.168.1.117] 

changed: [192.168.1.118] 


PLAY RECAP 344 ok) dk F A A kk Ok KK A A A E E K E e e Ae A E A A E E E e e E A A RICO A AA 


192.168.1.116 : ok=4 changed=3 unreachable-0 failed-0 
192.168.1.117 : Ok=4 changed-3 unreachable-0 failed-0 
192.168.1.118 : Ok=4 changed=3 unreachable=0 failed=0 


这 样 我 们 就 完成 了 3 台 机 器 的 Nginx 安 装 部 署 。 下 面 我 们 需要 对 主机 的 Nginx 服 务 进行 核查 ， 并 且 确 认 生 成 后 nginx.conf 中 的 worker_processes 参 数 的 值 是 否 正确 : 


[root(python ~]# ansible -i hosts all -m shell -a 'netstat -tpln |grep :80' -f 3 


192.168.1.117 success | rc=0 >> 


tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 2370/nginx 
192.168.1.116 success | rc=0 >> 
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 6231/nginx 
192.168.1.118 success | rc=0 >> 
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 17863/nginx 


[rootépython ~]# ansible -i hosts all -m shell -a 'grep worker processes /etc/nginx/nginx.conf' -f 3 


192.168.1.117 success | rc=0 >> 
worker processes 2; 
192.168.1.116 success | rc=0 >> 
worker processes 2; 
192.168.1.118 success | rc=0 >> 
worker processes 1; 


后 续 如 果 又 需要 更 改 Nginx 配 置 ， 只 需 修改 nginx.confjj2 模 板 即 可 ， 在 运行 playbook 的 时 候 我 们 可 以 指定 task 运 行 ， 这 个 时 候 只 运行 Copy Nginx.conf 即 可 : 


[root(python ~]# ansible-playbook -i hosts nginx.yaml -f 3 --start-at-task-'Copy Nginx.conf' 


PLAY [all] xdi ooo Ro done lol oe Roaodlooioneloeioioioiokoiek 


GATHERING FACTS% A A d e ER dE e K E AE R E e K e ERE E e K E E RE e k e E R e e K E AE R A K K AK 


ok: [192.168.1.118] 
ok: [192.168.1.117] 
ok: [192.168.1.116] 


TASK: [Copy Nginx.conf] *X4*4ockoxXxX dk E e E e E A K K DEO E e E A R ORO ROO 


changed: [192.168.1.117] 
changed: [192.168.1.118] 
changed: [192.168.1.116] 


NOTIFIED: [ReStart Nginx Service] *% k A k k k k k de Ade i K E H AE A K K K K E e k k 


ok: [192.168.1.116] 
ok: [192.168.1.117] 
ok: [192.168.1.118] 


PLAY RECAP A44 900 0k k ko KKCKCOIOKKORCICOKOROKORCICROKORCKCICCKOROROACIC CROIRE ORG 


192.168.1.116 : ok=3 changed=1 unreachable=0 failed=0 
192.168.1.117 : Ok=3 changed-1 unreachable-0 failed-0 
192.168.1.118 : ok=3 changed-1 unreachable-0 failed-0 


2454, playbookzkxeisas EzUtblhi(stask, RJJ E--step%B., nginx.yaml&—^ EXE 


强大 ， 下 面 我 们 通过 一 个 比较 全 面 的 playbook 例 子 来 讲解 playbook 的 一 些 日 常 使 用 ， 代 码 如 下 : 


的 playbook 文 件 ， 在 我 们 的 实际 工作 中 可 能 会 遇 到 各 种 复杂 的 需求 ， 但 playbook 的 灵活 性 非常 


remote user: root 
sudo: yes 

sudo user: yadmin 
gather facts: no 
accelerate: no 
accelerate port: 5099 


max fail percentage: 30 


connection: local 
serial: 15 
vars: 

nginx port: 80 
vars files: 

= "vars.yml" 


- hosts: 192.168.1.117:192.168.1.118  4$H4pidtEd'Ad-Hoc'H Xj Pr patterns 


# 远 程 SSH 认 证 用 户 

# 设 置 'playbook sudo' 操 作 

# 设 置 'playbook sudo' 用 户 

# 设 置 'facts' 信 息 收 集 

# 设 置 'accelerate' 模 式 

# 设 置 'accelerate' 端 口 

# 设 置 'playbook tasks' 失 败 百分比 
# 设 置 远程 连接 方式 

THEE 'playbook' JF 4t H 

HAE 'playbook' 变量 


# 设 置 !playbook' 变 量 引 用 文件 


- [ "one.yml", "two.yml" ] 


vars prompt: 


# 设 置 通过 交互 模式 输入 变量 


- name: "password vaes" 


prompt: "Enter password" 


HÈM prompt "模块 加 密 输 入 变量 


default: "secret" 


private: yes 


encrypt: "md5 crypt" 


confirm: yes 
salt: 1234 
salt size: 8 
pre tasks: 
~- name: pre tasks 


shell: hostname 


# 设 置 'playbook' 运 行 之 前 的 'tasks' 


roles: # 设 置 引入 'role' 
- docker 
- ( role: docker, version: '1.5.0', when: "ansible system == 'Linux'", tags :[docker,install ] } 
- ( role: docker, when: ansible all ipv4 addresses — '192.168.1.118' } 

tasks: BEESA'task' 


- include: tasks.yaml 
- include: tasks.yaml ansible distribution-'CentOS' ansible distribution version-'6.6' 
- ( include: tasks.yaml, version: '1.1', package: [nginx,httpd]} 
- include: tasks 192.168.1.117.yaml 
when: ansible all ipv4 addresses == '192.168.1.117' 


post tasks: 


- name: post tasks 
shell: hostname 


handlers: 


THE E 'playbook'i&4T Z5 8j ' tasks' 


THE Ë 'playbooks' $7 'handlers' 


- include: handlers.yml 


Ansible 的 playbook 写 法 很 丰富 ， 功 能 很 强大 ， 只 有 掌握 了 playbook 每 一 个 参数 之 后 ， 我 们 才能 写 出 强大 而 且 灵 活性 很 高 的 playbook， 这 也 是 我 们 在 工作 中 接触 和 使 


4.2 ”playbook 变 量 与 引用 


这 节 我 们 来 讲解 playbook 变 


，Ansible 定 义 变量 的 方式 有 很 多 种 ， 下 面 就 详细 介绍 Ansible 各 种 变量 定义 方式 。 我 们 还 可 以 针对 主机 或 者 主机 组 设置 变量 。 


1. 通 过 Inventory 文 件 定义 主机 以 及 主机 组 变量 


首先 我 们 来 看 下 对 应 的 Inventory 文 件 ，Ansib 


量 的 值 ， 最 后 通过 对 Nginx 组 定义 一 个 变量 同样 使 用 debug 模 块 查看 ， 如 下 所 示 : 


最 多 的 地 方 。 


e 默 认 的 Inventory 文 件 是 INI 格 式 ， 比 如 上 一 节 用 到 的 那个 hosts 文 件 ， 然 后 分 别针 对 每 台 主机 设置 一 个 变量 名 称 叫 作 key， 接 着 使 用 debug 模 块 来 查看 变 


192.168.1.116 key=116 
192.168.1.117 key=117 
192.168.1.118 key=118 
[nginx] 
192.168.1.11[6:8] 
[nginx:vars] 


ansible python interpreter-/usr/bin/python2.6 


我 们 编写 一 个 playbook 文 件 来 验证 变量 的 引用 是 否 正确 : 


- hosts: all 


gather facts: False 


tasks: 


- name: diplay Host Variable from hostfile 
debug: msg-"The (( inventory hostname }} Vaule is {{ key ]]" 


我 们 运行 这 个 playbook 如 下 所 示 : 


[root@python ~]# ansible-playbook variable.yaml 


PLAY [all] A A A A A A AE AE EE E OO E A A A A A AE E E E K E RE K K A A A A AE E E E E R K E K A K 
TASK: [diplay Host Variable from hostfile] *eeeexdooccoononooeiooeiek 


ok: [192.168.1.116] => ( 


ok: [192.168.1.117] => ( 


ok: [192.168.1.118] => ( 


msg": "The 192.168.1.116 Vaule is 116" 


msg": "The 192.168.1.117 Vaule is 117" 


msg": "The 192.168.1.118 Vaule is 118" 


PLAY RECAP eeekiekeeeeceeeceeececeeeeececeeececeeeeeeeeeeeeeeceeeer 
192.168.1.116 : ok=1 changed=0 unreachable=0 failed=0 
192.168.1.117 changed-0 unreachabl failed-0 
192.168.1.118 changed-0 unreachable-0 failed-0 


发 现 每 台 主机 都 引用 了 自己 定义 的 变量 ， 接 下 来 我 们 注释 每 台 主机 的 变量 定义 ， 直 接 给 nginx 组 定义 一 个 变量 ， 变 量 名 称 还 是 key 且 值 为 nginx， 如 下 所 示 : 


#192.168.1.116 — key-116 

14192.168.1.117 . key-117 

14192.168.1.118 . key-118 

[nginx] 

192.168.1.11[6:8] 

[nginx:vars] 

ansible python interpreter-/usr/bin/python2.6 
key-nginx 


我 们 再 来 运行 一 下 playbook 文 件 : 


[root@python ~]# ansible-playbook variable.yaml 


PLAY [all] *XXxxdxdonkonioO ROO AE K K A A K K A e K K E E E K A E K K A E E K E E E E E E E A 


TASK: [diplay Host Variable from hostfile] *'eexexoeeeenionoeoioeie 
ok: [192.168.1.116] => ( 
"msg": "The 192.168.1.116 Vaule is nginx" 


} 
ok: [192.168.1.118] => ( 
"msg": "The 192.168.1.118 Vaule is nginx" 


} 
ok: [192.168.1.117] => ( 
"msg": "The 192.168.1.117 Vaule is nginx" 


PLAY RECAP 4k dk oko AE E A E A A AE e A A E E A e Ae A A E E E E E e A Ae A A A E E E CR A A A 


192.168.1.116 : ok=1 changed-0 unreachable-0 failed-0 
192.168.1.117 $8 changed-0 unreachabl failed-0 
192.168.1.118 : ok=1 changed=0 unreachable-0 failed-0 


因为 所 有 主机 都 处 于 nginx 组 内 ， 所 以 该 组 定义 的 变量 针对 组 内 所 有 主机 都 生效 。 如 果 nginx 组 定义 了 变量 ， 然 后 每 台 主机 也 定义 了 变量 ， 只 要 定义 的 变量 key 名 称 不 同 ， 我 们 都 可 以 直接 引用 这 些 变 
量 ， 但 是 如 果 主 机 和 主机 组 都 定义 了 变量 而 且 key 还 都 相同 ， 这 个 时 候 你 会 发 现 单 台 主 机 定义 的 变量 会 生效 ， 大 家 可 以 自己 进行 测试 。 


2. 通 过 /etc/ansible/ 下 的 文件 定义 主机 以 及 主机 组 变量 


默认 使 用 yum 安 装 Ansible 的 配置 文件 是 在 /etc/ansible/ 目 录 下 ， 我 们 还 可 以 使 用 在 该 目录 下 新 建 host_vars 和 group_vars 目 录 来 针对 主机 和 主机 组 定义 变量 ， 如 果 是 采取 其 他 方式 安装 的 Ansible 只 
playbook 文 件 当前 目录 下 新 建 这 两 个 目录 即 可 。 如 下 所 示 目 录 和 文件 内 容 : 


[root@python ansible]f tree 
st ansible.cfg | group vars nginx hosts | host vars 
| 192.168.1.116 
|—— 192.168.1.117 
b 192.168.1.118 
2 directories, 6 files 
[rootépython ansible]f head host vars/* 
一 > host vars/192.168.1.116 <== 


key: 192.168.1.116 
一 > host_vars/192.168.1.117 < 一 


192.168.1.117 


key: 192.168.1.118 
[rootépython ansible]f cat group vars/nginx 


key: NGINX 


同样 ， 我 们 运行 上 面 的 playbook 文 件 来 验证 结果 如 下 所 示 : 


[root@python ansible]# ansible-playbook ^ /root/variable.yaml 


PLAY [all] A A A A AE a A AE K A E K A E K A E E DK A E K A E K E E K A e K E e K A E E K A E A A e 


TASK; [diplay Host Variable from hostfile] **eexsoeeoonioooeeoekie 
ok: [192.168.1.117] => ( 
"msg": "The 192.168.1.117 Vaule is 192.168.1.117" 


} 
ok: [192.168.1.116] => ( 
"msg": "The 192.168.1.116 Vaule is 192.168.1.116" 


} 
ok: [192.168.1.118] => ( 
"msg": "The 192.168.1.118 Vaule is 192.168.1.118" 


PLAY RECAP 4 ddekd kk oko KkCKCROIOKKRCICOKORORORCICOKORRCCICCKRORORCIC ORCI ROK KORR G RR 


192.168.1.116 : ok=1 changed-0 unreachable-0 failed-0 
192.168.1.117 : ok=1 changed=0 unreachable=0 failed=0 
192.168.1.118 : ok=1 changed=0 unreachable=0 failed=0 


我 们 可 以 看 到 每 台 主 机 的 变量 已 经 生效 ， 下 面 我 们 删 掉 host_vars 下 每 台 主机 变量 定义 文件 ， 然 后 来 验证 group_vars/ 下 nginx 组 的 变量 定义 : 


[rootépython ansible]# rm -fr host vars/* 
[root(python ansible]# ansible-playbook ^ /root/variable.yaml 
PLAY [all] JO dXGXOOOOOIOOOO RH KO IO ROOKIE ROI keel 
TASK: [diplay Host Variable from hostfile] ***exkieeeieeeieieieeeeieieiek 
ok: [192.168.1.116] => ( 

"msg": "The 192.168.1.116 Vaule is NGINX" 


} 
ok: [192.168.1.117] => ( 
"msg": "The 192.168.1.117 Vaule is NGINX" 


} 
ok: [192.168.1.118] => ( 

"msg": "The 192.168.1.118 Vaule is NGINX" 
} 


PLAY RECAP 44 kk de A A A kk E KKCKCROKR Ae E A A K K RR 


192.168.1.116 : ok=1 changed-0 unreachable-0 failed-0 
192.168.1.117 : ok=1 changed=0 unreachable-0 failed-0 
192.168.1.118 : ok=1 changed=0 unreachable=0 failed=0 


3. 通 过 ansible-playbook 命 令 行 传 入 


前 面 我 们 已 经 介绍 了 两 种 主机 以 及 主机 组 变量 的 定义 方式 ， 这 两 种 方式 也 是 我 们 日 常 使 用 过 程 中 最 常用 的 两 种 变量 定义 方式 。 这 节 我 们 介绍 一 个 通过 ansible-playbook 命 令 行 传 参 的 方式 定义 变量 ， 但 
是 默认 传 进去 的 变量 都 是 全 局 变量 ， 如 下 所 示 : 


[rootépython ~]# ansible-playbook /root/variable.yaml -e "key-KEY" 
PLAY [all] XJ AEE AE E A K A E A A A E A AE E E E E E E E K A K E A A A EE E E E EK K K A A 
TASK: [diplay Host Variable from hostfile] *'eeeeeeieeeeieioeeekdoekiek 
ok: [192.168.1.116] => ( 

"msg": "The 192.168.1.116 Vaule is KEY" 


} 
ok: [192.168.1.117] => ( 
"msg": "The 192.168.1.117 Vaule is KEY" 


} 
ok: [192.168.1.118] => ( 

"msg": "The 192.168.1.118 Vaule is KEY" 
} 
PLAY RECAP deeeiekeeeeceeeeeeeeeceeeeeceeeeeeeeeeeeeeeeeeeeeeeeeeoer 
192.168.1.116 changed-0 unreachable-! failed-0 
192.168.1.117 changed-0 unreachabl failed-0 
192.168.1.118 changed-0 unreachable-0 failed-0 


当然 也 支持 同时 传 多 个 变量 ， 目 前 Ansible-playbook 还 支持 指定 文件 的 方式 传 入 


亦 量 
变量 ， 


变量 文件 的 内 容 支 持 YAML 和 JSON 两 种 格式 ， 如 下 所 示 : 


[root(python ~]# cat var.yaml 


key: YAML 
[rootüpython ~]# cat var.json 
["key": "JSON") 


这 里 我 们 指定 varjson 文 件 传 入 变量 : 


[root@python ~]# ansible-playbook /root/variable.yaml -e "@var.json" 
PLAY [all] F A H E AE AEH R E K E E A A E K KE KE E E AE A E A K RE K K AE E AE A K RE K K E E AE A K KKK KEA KKK KAA 
TASK: [diplay Host Variable from hostfile] *exexsoeoonoooociooeiok 
ok: [192.168.1.116] => ( 

"msg": "The 192.168.1.116 Vaule is JSON" 


} 
ok: [192.168.1.117] => ( 
"msg": "The 192.168.1.117 Vaule is JSON" 


} 
ok: [192.168.1.118] => ( 

"msg": "The 192.168.1.118 Vaule is JSON" 
} 


PLAY RECAP d dekkdck ok AE E A E A A Ae A e E E E e e Ae A E E E E E e e AE ORCI A A A A 


192.168.1.116 : ok=1 changed=0 unreachable=0 failed=0 
192.168.1.117 : ok=1 changed=0 unreachable=0 failed=0 
192.168.1.118 : ok=1 changed=0 unreachable=0 failed=0 


下 面 我 们 指定 var.yaml 文 件 传 入 变量 : 


[root@python ~]# ansible-playbook /root/variable.yaml -e "@var.yaml" 
PLAY [all] F A A A A A A E AE E AE E E XO A A A E A AE E E E E E E K A K A A A EEE E E E KE K A E E A A 
TASK; [diplay Host Variable from hostfile] **eexsoeeonionoieeoekie 
ok: [192.168.1.116] => ( 

"msg": "The 192.168.1.116 Vaule is YAML" 


} 
ok: [192.168.1.117] => ( 
"msg": "The 192.168.1.117 Vaule is YAML" 


} 
ok: [192.168.1.118] => ( 

"msg": "The 192.168.1.118 Vaule is YAML" 
} 


PLAY RECAP 4x4 kd de A A A kk KK e A A A E E K E e A Ae A E A A E E E KORR A A A AE E A AA Re 


192.168.1.116 : ok=1 changed-0 unreachable-0 failed-0 
192.168.1.117 : oO. changed-0 unreachabl failed-0 
192.168.1.118 : ok=1 changed=0 unreachable=0 failed=0 


4. 在 playbook 文 件 内 使 用 vars 


我 们 还 可 以 在 playbook 文 件 内 通过 vars 字 段 定 义 变量 ， 再 来 看 variable.yaml 文 件 内 容 : 


- hosts: all 
gather facts: False 
vars: 
key: Ansible 
tasks: 
- name: diplay Host Variable from hostfile 
debug: msg-"The (( inventory hostname }} Vaule is (( 


key 


n" 


然后 我 们 直接 运行 variable.yaml 文 件 如 下 所 示 : 


[rootépython ~]# ansible-playbook ^ /root/variable.yaml 
PLAY [all] A A A A A A A AEE E E E A ko k A E A A A E AE EE E E E K E K K E A A A E AE E E E E E K A K A A A A E 
TASK; [diplay Host Variable from hostfile] *xxoeeoonionoeeooekie 
ok: [192.168.1.117] => ( 

"msg": "The 192.168.1.117 Vaule is Ansible" 


} 
ok: [192.168.1.116] => ( 
"msg": "The 192.168.1.116 Vaule is Ansible" 


} 
ok: [192.168.1.118] => ( 
"msg": "The 192.168.1.118 Vaule is Ansible" 


PLAY RECAP A4dekkdckokok ok AE A A E A A Ae A A A E A E e e Ae A A E E E A E e AE A AE A E E E A KORR 


192.168.1.116 : ok=1 changed-0 unreachable-0 failed-0 
192.168.1.117 : ok=1 changed=0 unreachable=0 failed=0 
192.168.1.118 : ok=1 changed=0 unreachable=0 failed=0 


» 


5. 在 playbook 文 件 内 使 用 vars files 


我 们 还 可 以 在 playbook 文 件 内 通过 vars files 字 段 引 用 变量 ， 首 先 把 所 有 的 变量 定义 到 某 个 文件 内 ， 然 后 在 playbook 文 件 内 使 


vars files 参 数 引 


这 个 变量 文件 ， 我 们 再 来 看 variable.yaml 文 件 的 内 


- hosts: all 
gather facts: False 
vars files: 
- var.yaml 
tasks: 
- name: diplay Host Variable from hostfile 
debug: msg-"The (( inventory hostname }} Vaule is {{ 


key 


n" 


varyaml 文 件 就 是 变量 定义 存放 的 文件 ， 这 个 时 候 我 们 就 可 以 直接 运行 variable.yaml， 结 果 如 下 所 示 : 


[root@python ~]# ansible-playbook ^ /root/variable.yaml 
PLAY [all] 943800 XO A A A A A AE AE EE K E E K E K A A A A AE D E E E K E K K K A A K 
TASK: [diplay Host Variable from hostfile] *'eeeexssoeoononoiociooeie 
ok: [192.168.1.116] => ( 

"msg": "The 192.168.1.116 Vaule is YAML" 
} 


ok: [192.168.1.118] => ( 
"msg": "The 192.168.1.118 Vaule is YAML" 


} 
ok: [192.168.1.117] => { 
"msg": "The 192.168.1.117 Vaule is YAML" 


PLAY RECAP 4d k dk kk KKCKCROIOKKORCACOKORORORCICROKORRCCICCKROROACIC ORCI OK KORR 


192.168.1.116 
192.168.1.117 


: ok=1 


changed=0 unreachabl 


changed-0 unreachable-0 failed-0 
failed-0 


192.168.1.118 : ok=1 changed=0 unreachable=0 failed=0 


6. 使 用 register 内 的 变量 


Ansible playbook 内 task 之 间 还 可 以 互相 传递 数据 ， 比 如 我 们 总 共有 两 个 tasks， 


task 执 行 的 结果 传递 给 第 2 个 task。Ansible task 之 间 传 递 数据 使 用 register 方 式 ， 下 面 我 们 来 看 一 个 简单 的 例子 : 


中 第 2 个 task 是 否 执 行 是 需要 判断 第 1 个 task 运 行 后 的 结果 ， 这 个 时 候 我 们 就 得 在 task 之 间 传递 数据 ， 需 要 把 第 1 个 


- hosts: all 
gather facts: False 
tasks: 
- name: register variable 
shell: hostname 
register: info 
- name: display variable 
debug: msg-"The varibale is {{ info }}" 


这 里 我 们 把 第 1 个 task 执 行 hostname 的 结果 register 给 info 这 个 ， 然 后 在 第 2 个 task 把 这 个 结果 使 


debug 模 块 打印 出 来 ， 先 来 看 执行 结果 ， 如 下 所 示 : 


[root@python ~]# ansible-playbook variable.yaml -1 192.168.1.118 


PLAY [all] # AA A AE ak A AE k A E K A E K A E K A E K A E E K AE E K A e E K A E E K A E K A E A A A 
TASK: [register variable] #3 kee i i Ak K k e de oko KO Ae e AE A K K E E K k K 


changed: [192.168.1.118] 


TASK: [display variable] xxxi! od OO K K K AE E A K K k K 


ok: [192.168.1.118] => { 


"msg": "The varibale is {u'changed': True, u'end': u'2015-05-31 16:09:42.511109', u'stdout': u'python', u'cmd': u'hostname', u'rc': 


PLAY RECAP #5 A A A A A d E d A de A E A kk loko Kk Rok Kok KR OK A E E E E e ek KR RR ek Kj eek 


192.168.1.118 : ok=2 changed=1 unreachable=0 failed=0 


0, u'start': u'2015-05-31 16:09:42.50€ 


我 们 可 以 看 到 info 的 结果 是 一 段 Python 字典 数据 ， 里 
下 面 想 标准 输出 stdout 的 信息 时 ， 只 需要 指定 stdout 这 个 key 即 可 ， 如 下 所 示 : 


回 


存储 着 很 多 信息 包括 执行 时 间 状 态 变 化 输出 等 信息 。register 的 输出 数据 结果 都 是 Python 字典 ， 我 们 可 以 很 容易 地 挑选 出 我 们 想 要 的 信息 ， 比 如 


[root(python ~]# cat variable.yaml 


- hosts: all 
gather facts: False 
tasks: 
- name: register variable 
shell: hostname 
register: info 
- name: display variable 
debug: msg-"The varibale is (( info['stdout'] 


p" 


infof stdout ] 是 一 个 标准 的 Python 语言 在 字典 中 取 值 的 用 法 ， 我 们 再 来 执行 playbook 如 下 所 示 : 


[root(python ~]# ansible-playbook variable.yaml -1 192.168.1.118 


PLAY [all] 本 六 炎炎 炎炎 次 次 六 炎 次 次 六 六 次 次 交大 次 交 六 大 次 次 六 大 次 次 六 大 次 次 炎炎 次 次 六 大 次 次 六 六 次 次 炎 太 次 次 六 太 次 交 六 六 次 交 六 


TASK: [register variable] *** c!) Ae i A K K AE A AE A K K k KE Ree 


changed: [192.168.1.118] 


TASK: [display variable] xxxn HE A R AE A AE A K K E eee 


ok: [192.168.1.118] => { 


"msg": "The varibale is python" 


PLAY RECAP x ddekkkdekokokok E Ae Kok ok eek e E E e e eek E E E E ike eek 


192.168.1.118 : Ok=2 changed-1 unreachable-0 failed-0 


这 个 时 候 我 们 就 只 取出 stdout 的 值 了 ， 其 他 信息 的 引用 与 这 个 方式 一 样 。 


7. 使 用 vars_prompt 传 入 


Ansible 还 支持 在 运行 playbook 的 时 候 通过 交互 式 的 方式 给 定义 好 的 参数 传 入 变量 值 ， 只 需 在 playpook 中 定义 vars_prompt 的 变量 名 和 交互 式 提示 内 容 即 可 。 当 然 Ansible 还 可 以 对 输入 的 变量 值 进行 加 


密 处 理 ， 比 如 采用 SHA512 和 MD5 算 法 加 密 。 需 要 注意 的 是 ， 如 果 要 对 变量 
值 : 


值 进行 加 密 的 话 ，Ansible 机 器 上 需要 安装 passlib python 库 。 下 面 我 们 通过 一 个 简 生 


的 例子 来 了 解 vars_prompt 交 互 式 传 入 变量 


- hosts: all 
gather facts: False 
vars prompt: 
- name: "one" 
prompt: "please input one value" 
private: no 
- name: "two" 
prompt: "please input two value" 
default: 'good' 
private: yes 
tasks: 
- name: display one value 
debug: msg-"one value is (( one }}" 
- name: display two value 
debug: msg-"two value is (( two ])" 


在 例子 中 通过 vars_prom pt 参数 进 行 交互 传 入 两 个 变量 的 值 ， 变 量 名 分 别 是 one 和 two，one 变 量 定义 为 非 私有 变量 ，two 变 量 定义 为 私有 变量 并 且 还 提供 


话 ，two 变 量 的 值 将 会 为 默认 值 。private: yes 和 private: no 的 作用 是 显示 交互 模式 下 输入 的 变量 值 。 我 们 来 运行 playbook 测 试 一 下 : 


一 个 默认 值 。 如 果 不 给 变量 two 传 入 值 的 


[root@python ~]# ansible-playbook variable.yaml -1 192.168.1.118 
please input one value: ansible 
please input two value [good]: 
PLAY [all] AA A A A A A AE AE ooo KO koi loj Kool jer 
TASK: [display one value] **€x«xeeeececeeoeooenoedooeoieonoer 
ok: [192.168.1.118] => ( 
"msg": "one value is ansible" 
} 
TASK: [display two value] *€xXexixxkoeoceoonenoepaoooieonoer 
ok: [192.168.1.118] => ( 

"msg": "two value is ok" 


PLAY RECAP 44 kd de A A A kk kk e A Ae A E AE KORR A e A E A R KR e OK KR ROCK RR 


dede 
dede 


dede 


dckdekdek 


192.168.1.118 : Ok=2 changed=0 unreachable=0 failed=0 


前 面 我 们 介绍 了 7 种 方式 去 定义 变量 以 及 如 何 引 用 。 变 量 的 定义 有 很 多 方式 ， 上 面 介绍 的 是 常用 的 几 种 方式 。Ansible 的 变量 引 


方式 相对 少 ， 都 是 固定 的 {fkey} 或 者 {fkey[key"]} 或 者 {tkey[01['key"] 根 


变量 的 值 定义 了 不 同 的 数据 结构 ， 因 而 变量 引用 方法 稍微 有 点 区 别 。 与 Python 语 言 引用 方式 一 样 ， 还 有 一 个 要 注意 的 是 ， 如 果 我 们 通过 多 种 方式 定义 了 相同 变量 ， 变 量 的 名 称 都 是 一 样 的 ， 但 是 每 种 方式 
定义 的 值 不 一 样 ， 这 个 时 候 大 家 会 问 到 底 哪 个 会 生效 或 者 哪个 会 被 覆盖 。 建 议 读者 在 掌握 各 种 变量 定义 方式 后 进行 测试 ， 本 书 就 不 进行 相应 测试 了 。 


43 playbook 循环 


有 时 候 我 们 写 playbook 的 时 候 发 现 写 了 很 多 的 task 都 重复 引用 某 个 模块 ， 比 如 一 次 想 同步 10 个 文件 ， 如 果 按 照 以 前 写 playbook 的 思路 需要 写 10 个 task， 这 样 写 的 话 发 现 playbook 会 显得 很 腔 有 种 。 这 节 
我 们 就 介绍 Ansible loops 用 法 ， 可 以 使 用 loops 方 式 去 编写 playbook 减 少 重复 使 用 某 个 模块 。 目 前 官网 支持 很 多 loops 方 式 ， 由 于 篇 幅 有 限 所 以 本 书 只 挑选 了 几 个 比较 常用 的 loops 进 行 介绍 ， 关 于 其 他 的 


loops 大 家 可 以 通关 官网 http://docs.ansible.com/ansible/playbooks loops.html#standard-loops 进 行 更 加 详细 的 了 解 。 


1. 标 准 Loops 


标准 loops 是 我 们 在 编写 playbook 过 程 中 使 用 最 多 的 一 种 loops， 它 能 直接 减少 编写 task 的 次 数 ， 比 如 需要 使 用 yum 模 块 安装 10 个 软件 包 ， 按 照 以 前 的 思路 可 能 需要 写 10 个 task 每 个 task 使 用 yum 安 装 
每 个 软件 包 ， 这 个 时 候 我 们 就 可 以 直接 使 用 标准 的 loops 简 单 快速 地 实现 10 个 软件 包 的 安装 了 。 比 如 下 面 的 例子 分 别 打印 one two 这 个 两 个 值 ， 如 下 所 示 : 


- hosts: all 

gather facts: False 
tasks: 

- name: debug loops 
debug: msg-"name ------ > {{ item }}" 

with items: 

- one 

- two 


运行 loops.yaml， 如 下 所 示 : 


[root@python ~]# ansible-playbook loops.yaml -1 192.168.1.116 


PLAY [all] *XAxod koi OO AE K K A E K K A E E K A E K K A E E K A E E K E e E A E E A E A 


TASK: [debug loops]  * e Ak k e A k e A e k A e E A K e E K e e E K E A K E A E E A A K 
ok: [192.168.1.116] => (item=one) => { 

"item": "one", 

"insg"; "name = > one" 


} 

ok: [192.168.1.116] => (item=two) => ( 
"item": "two", 
"msg": "name .------ > two" 

} 


PLAY RECAP Jod de A A A kk kk kk e A A A E E K E e A Ae e E A E E E E KORR A A K E E KR eek 


192.168.1.116 : ok=1 changed-0 unreachable-0 failed-0 


with_items 的 值 是 python list 数 据 结构 ， 可 以 理解 为 每 个 task 会 循环 读 取 list 里 面 的 值 ， 然 后 key 的 名 称 是 iem， 当 然 list 里 面 也 支持 python 字 典 ， 如 下 所 示 : 


- hosts: all 
gather facts: False 
tasks: 
- name: debug loops 
debug: msg-"name ------ > {{ item.key }} vaule ------- > (( item.vaule ])" 
with items: 
- (key: "one", vaule: "VAULEl") 
- (key: "two", vaule: "VAULE2"] 


运行 loops.yaml 如 下 : 


[root(python ~]# ansible-playbook loops.yaml -l1 192.168.1.116 


PLAY [all] 类 本 六 炎炎 炎炎 次 次 六 大 次 次 六 六 次 交 光大 次 交 六 大 次 次 六 大 次 次 六 六 次 次 六 大 次 次 六 大 次 次 六 六 次 次 六 六 次 次 六 六 次 次 六 六 交 大 太 


TASK: [debug loops] *x&xXxkkexidonepdoceiookidookekoneonoeogloopoeoooonoeoek 
ok: [192.168.1.116] => (item-('vaule': 'VAULEl', 'key': 'one']) => ( 
"item"; { 
"key": "one", 


"vaule": "VAULEl1" 


"msg": "name -m= > one vaule -------. > VAULEl1" 
} 
ok: [192.168.1.116] => (item={'vaule': 'VAULE2', 'key': 'two'}) => { 
"item": { 
"key": "two", 
"vaule": "VAULE2" 
] 
"msg": "name -----— > two vaule ------- » VAULE2" 
PLAY RECAP  # A A A A d A d A A A A A K A AE A A A E E A E A K E AE e A E A A A e A K E A A E E A A AK A 
192.168.1.116 : ok=1 changed-0 unreachable-0 failed-0 
2.8 ÉLoops 


谋 套 Loops 也 是 我 们 编写 playbook 中 比较 常见 的 一 种 循环 ， 它 主要 实现 一 对 多 或 者 多 对 多 的 合并 ， 如 下 所 示 : 


- hosts: all 
gather facts: False 
tasks: 
- name: debug loops 
debug: msg-"name ------ > {{ item[0] ]) vaule -------— > {{ item[1] }}" 
with nested: 
= DA 
- ['a','b','c'] 


运行 loops.yaml 如 下 所 示 : 


[root(python ~]# ansible-playbook loops.yaml -1 192.168.1.116 


PLAY [all] **xxdonkoxndooiopiokookoodociooO ioeoiaoelokooiooioineidloeiiooiiokooek 


TASK: [debug loops] *exeeieceeooopooceiookidookeionednaokeogkoopoeopoonoeoek 
ok: [192.168.1.116] => (item-['A', 'a']) — ( 
"item"; [ 
"A", 
"an 
’ 
"msg": "name ------ > A vaule ------— » a" 


ok: [192.168.1.116] => (iteme['A', 'b']) => ( 


"item": [ 


"A", 
"p" 
l; 
"msg": "name -————- = A vaule ------- » b" 
} 
ok: [192.168.1.116] => (item=["A'; 'c']) = ( 
"item": [ 
"A", 
"eu 
l; 
"msg": "name me > A vaule ------— »c" 


PLAY RECAP 44d 0 kd kc kok E A Ae A Ae AE E E E E e A AE A A A E CK KORR 


192.168.1.116: ok=1 changed=0 unreachable=0 failed=0 


我 们 可 以 通过 一 个 Python 例子 来 解释 这 个 例子 ， 定 义 两 个 list 的 代码 如 下 : 


In [12]: one=['A'] 

In [13]: two=['a', 'b', 'c'] 

In [14]: [i * y for i in one for y in two] 
Out[14]: ['Aa', 'Ab', 'Ac'] 


3. 散 列 loops 


散 列 loops 相 比 标准 loops 就 是 变量 支持 更 丰富 的 数据 结构 ， 比 如 标准 loops 的 最 外 层 数据 必须 是 Python 的 ist 数 据 类 型 ， 而 散 列 loops 直 接 支持 YAML 格 式 的 数据 变量 。 下 面 我 们 通过 一 个 简单 的 例子 来 
了 解散 列 loops， 如 下 所 示 : 


- hosts: all 
gather facts: False 
vars: -— 
user: 
shencan: 
name: shencan 
shell: bash 
ruifengyun: 
name: ruifengyun 
shell: zsh 
tasks: 
- name: debug loops 
debug: msg-"name ------ > (1 item.key }} vaule ------- > {{ item.value.name }} shell --------- > {{ item.value.shell }}" 


with dict: user 


运行 loops.yaml 如 下 所 示 : 


[root(python ~]# ansible-playbook loops.yaml -1 192.168.1.116 


PLAY [all] A A K A AE a A AE k A E K A E K A E K E E E D E E E K A E K A e K K E E K A e E K A E E A A A 


TASK: [debug loops] * e Ak k e A k e E e k E e E K e E K e e E K E E K E A K E E E K 
ok: [192.168.1.116] => (item={'key': 'ruifengyun', 'value': {'shell': 'zsh', 'name': 'ruifengyun'}}) => { 
"item": { 
"key": "ruifengyun", 
"value": { 
"name": "ruifengyun", 
"shell": "zsh" 
} 
] 
"msg": "name 一 -> ruifengyun vaule ~ > ruifengyun shell - > zsh" 
} 
ok: [192.168.1.116] => (item={'key': 'shencan', 'value': {'shell': 'bash', 'name': 'shencan'}}) => ( 
"item"; { 
"key": "shencan", 
"value": ( 
"name": "shencan", 
"shell": "bash" 
} 
) 
"msg"; "name ------ > shencan vaule ------— > shencan shell --------- > bash" 


PLAY RECAP 4 4dek d H de A A o AE E A E A A Ae A A A E A E A e Ae A AE E E E E E e e AE A A A A E OK KORR 


192.168.1.116: ok=1 changed=0 unreachable=0 failed=0 


with_dict 是 接收 一 个 Python 字典 (经 过 yaml.load 后 ) 的 格式 的 变量 ， 为 了 更 好 地 理解 ， 下 面 我 们 通过 Python 语言 实现 的 这 个 过 程 : 


In [14]: user 


Out[14]: 
[('ruifengyun': ('name': 'ruifengyun', 'shell': 'zsh'], 
'shencan': ('name': 'shencan', 'shell': 'bash'}} 


In [15]: for key,value in user.items(): 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/. .http: / /www.hzcourse.com/resource/readBook?path-/openresources/teack 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/ . .http: / /www.hzcourse.com/resource/readBook?path-/openresources/teack 
ruifengyun ruifengyun zsh 
shencan shencan bash 


4 .文件 匹配 loops 


文件 匹配 loops 是 我 们 编写 playbook 的 时 候 需要 针对 文件 进行 操作 中 最 常用 的 一 种 循环 ， 比 如 我 们 需要 针对 一 个 目录 下 指定 格式 的 文件 进行 处 理 ， 这 个 时 候 直 接 在 引用 with_fileglob 循 环 去 匹配 我 们 需 
要 处 理 的 文件 即 可 ， 下 面 我 们 通过 例子 进行 讲解 ， 如 下 所 示 : 


~ hosts: all 
gather facts: False 
tasks: 
- name: debug loops 
debug: msg-"files -------- > {{ item }}" 
with fileglob: 
- /root/*.yaml 


with_fileglob 这 个 时 候 会 匹配 root 目 录 下 所 有 以 yaml 结 尾 的 文件 ， 当 作 {{item}》} 变 量 ， 运 行 结果 如 下 : 


[root@python ~]# ansible-playbook loops.yaml -1 192.168.1.116 


PLAY [all] 4394 E AE H K E KE IOGOIO KE E E AE AE AE A K K K E e E A E RE K K E E E A K K K EE A A KKK A 
TASK: [debug loops] %3 A ak k e A k A k E K AE E E AE A K AE K E A e A K A EK E A E A A K E A 
ok: [192.168.1.116] => (item=/root/nginx.yaml) => { 
"/root/nginx.yaml", 


"msg": "files 一 -一 -一 -一 > /root/nginx.yaml" 

} 

ok: [192.168.1.116] => (item=/root/loops.yaml) => { 
"ite "/root/loops.yaml", 
"msg": "files -------- » /root/loops.yaml" 


ok: [192.168.1.116] => (iteme/root/variable.yaml) => ( 
"ite "/root/variable.yaml", 
"msg": "files 一 -一 -一 -一 > /root/variable.yaml" 


} 

ok: [192.168.1.116] => (item=/root/var.yaml) => { 
"item": "/root/var.yaml", 
"msg": "files -------- » /root/var.yaml" 

} 


PLAY RECAP 4o d de A A A kk E A A e A A A E E A E e e Ae A E A E E E E e e E A A AE E AA 


192.168.1.116 : ok=1 changed-0 unreachable-0 failed-0 


其 实 文件 loops 就 是 使 用 python glob 模 块 去 做 文件 模糊 匹配 ， 如 下 所 示 : 


In [1]: import glob 
In [2]: print glob.glob('/root/*.yaml') 


['/root/nginx.yaml', '/root/loops.yaml', '/root/variable.yaml', '/root/var.yaml'] 
5. 随 机 选择 loops 
随机 选择 loops 的 例子 如 下 : 
~ hosts: all 
gather facts: False 
tasks: 


- name: debug loops 
debug: msg-"name 
with random choice: 


> {{ item }}" 


- "ansiblel" 

- "ansible2" 

- "ansible3" 
运行 loops.yaml 如 下 所 示 : 


[root(python ~]# ansible-playbook loops.yaml -1 192.168.1.116 


PLAY [all] FA A H A AE A AE E AE E AE E E K A E A A A A AE E E E E E E E K K A E A A A AEE E E E ie A A 
TASK: [debug loops] %3 A k e Aak k e A k e e e e A K e E K k e A E E AE EA K E K K K 
ok: [192.168.1.116] => (item=ansible2) => { 
"item": "ansible2", 
"msg": "name ---------—-: > ansible2" 


} 


PLAY RECAP 4 dokk kk oko E E A AE Ae A E AE A E R 


192.168.1.116 : ok=1 changed=0 unreachable=0 failed=0 


with_random_choice 就 是 在 传 入 的 list 中 随机 选择 一 个 ， 与 使 用 python random 实 现 原 理 一 样 ， 如 下 所 示 : 


In [5]: import random 

In [6]: list-['ansiblel','ansible2', 'ansible2'] 
In [7]: print (random.choice (list)) 

ansiblel 


6. 条 件 判断 Loops 


有 时 候 执行 一 个 task 之 后 ， 我 们 需要 检测 这 个 task 的 结果 是 否 达 到 了 预想 状态 ， 如 果 没 有 达到 我 们 预想 的 状态 时 ， 就 需要 退出 整个 playbook 执 行 ， 这 个 时 候 我 们 就 需要 对 某 个 task 结 果 一 直 循环 检测 
了 ， 如 下 所 示 : 


- hosts: all 
gather facts: False 
tasks: 
- name: debug loops 

shell: cat /root/Ansible 
register: host 
until: host.stdout.startswith ("Master") 
retries: 5 
delay: 5 


5 秒 执行 一 次 cat/root/Ansible 将 结果 register 给 host 然 后 判断 host.stdout.startswith 的 内 容 是 否 是 Master 字 符 串 开头 ， 如 果 条 件 成 立 ， 此 task 运 行 完 成 ， 如 果 条 件 不 成 立 5 秒 后 重 试 ，5 次 后 还 不 成 立 ， 
此 task 运 行 失败 。 


7. 文 件 优先 匹配 Loops 


在 前 面 我 们 介绍 了 一 个 文件 匹配 loops， 其 实 文件 优先 匹配 loops 和 它 的 功能 很 相似 ， 因 为 都 是 用 来 做 文件 的 匹配 ， 但 是 文件 优先 匹配 会 根据 你 传 入 的 变量 或 者 文件 进行 从 上 往 下 匹配 ， 如 果 匹 配 到 某 个 
文件 ， 它 会 用 这 个 文件 当 作 {{item}} 的 值 ， 如 下 所 示 : 


- hosts: all 
gather facts: True 
tasks: 
- name: debug loops 
debug: msg="files ------ > (( item jJ)" 
with first found: 
= "(( ansible distribution )).yaml" 
- "default.yaml" 


with first found 会 从 list 里 面 定义 的 文件 从 上 往 下 一 个 一 个 的 匹配 ， 如 果 匹 配 到 了 item 就 是 该 文件 ， 如 下 所 示 : 


[root(python ~]# ansible-playbook loops.yaml -1 192.168.1.118 


PLAY [all] 4990 A A E K E KE E E AE A E A K RE E K E AE AE A K R E K E AE AE A K K K K E E E A A KK 
GATHERING FACTS xenical 
ok: [192.168.1.118] 

TASK: [debug loops] **eeeeecencieocooeoonooooonpdooeoanoiopoonaoioeonooioooer 
ok: [192.168.1.118] => (iteme/root/CentOS.yaml) => ( 
"/root/CentOS.yaml", 

files ------ » /root/CentOS.yaml" 


PLAY RECAP A 4dek dd de A o AE E A Ae A Ae A E E E E E E e A AE A AE A A E OK A A AA 


192.168.1.118 : ok=2 changed=0 unreachable=0 failed=0 


8.register Loops 


在 上 一 小 节 介绍 playbook 变 量 定义 的 时 候 ， 我 们 已 经 知道 register 是 用 于 task 直 接 互相 传递 数据 的 ， 一 般 我 们 会 把 register 用 在 单一 的 task 中 进行 变量 临时 存储 ， 其 实 register 还 可 以 同时 接受 多 个 task 
的 结果 当 作 变量 临时 存储 ， 如 下 所 示 : 


- hosts: all 
gather facts: True 
tasks: 

- name: debug loops 
shell: "(( item jJ)" 
with items: 

- hostname 
- uname 
register: ret 

- name: display loops 
debug: msg-"($ for i in ret.results $) {{ i.stdout )) ($ endfor $)" 


以 前 我 们 写 playbook 的 时 候 都 是 执行 一 个 task， 然 后 register 给 一 个 变量 ， 它 的 数据 结果 很 好 理解 ， 但 是 如 果 你 执行 多 个 task 并 
使 用 jinja2 的 for 循 环 才能 把 所 有 的 结果 显示 出 来 ， 如 下 所 示 : 


们 需 


register 给 一 个 变量 时 ， 它 的 结果 数据 跟 平常 就 不 一 样 了 ， 比 如 上 面 我 


[root@python ~]# ansible-playbook loops.yaml -1 192.168.1.118 


PLAY [all] 类 洲 六 大 炎炎 类 交 关 淡 六 交 次 次 太 次 交 次 太 次 交 次 太 次 交 次 太 次 次 次 六 次 交 次 六 次 交 次 太 次 次 次 太 次 次 次 太 次 大火 六 交大 次 太 交大 次 
GATHERING FACTS % AK H A dk d Ae R de A K H AE K E A k E AE R E e k e E K E A k e AE K E K A K K A KKK AKK 


ok: [192.168.1.118] 

TASK: [debug loops] %4 i k ie Ae ak k k e k e e e k e A K e E K k e E E E A E A K E E K K 
changed: [192.168.1.118] => (item=hostname) 

changed: [192.168.1.118] => (item=uname) 

TASK: [display loops] * A Aak k k e k e e e k e A K e K e AE K E A EAE K E K K A 
ok: [192.168.1.118] => { 


"msg": " python Linux " 


PLAY RECAP 4o 0 A de A AE A kk KK e A A E E E K E e E Ae e E A E E E E KORR A A A KE R A 


192.168.1.118 : ok=3 changed=1 unreachable=0 failed=0 


前 面 我 们 已 经 介绍 了 常 
己 编 写 loops。 


的 一 些 Ansible loops 以 及 通过 示例 去 了 解 它 的 实现 原理 。 当 然 如 果 你 有 Python 开发 能 


4.4 playbook lookups 


通过 第 2 小 节 的 学 习 我 们 知道 了 有 很 多 方式 可 以 定义 Ansible 变 量 ， 


的 形式 ， 这 就 是 Ansible 的 lookups 插 件 。 目 前 Ansible 已 经 自 带 一 些 lookups 组 件 ， 我 们 可 以 从 Ansible 源 码 文件 中 查看 ， 本 节 会 挑选 几 个 经 常 使 
机 上 运行 的 ， 有 一 些 软件 依赖 需要 注意 。 


1.lookups file 


， 就 可 以 去 看 Ansible 源 码 ， 这 样 可 以 对 每 一 个 loops 的 实现 原理 进行 了 解 ， 还 可 以 自 


但 是 这 些 变量 的 定义 都 是 静态 的 。 其 实 Ansible 还 支持 从 外 部 数据 拉 取信 息 ， 比 如 我 们 可 以 从 数据 库 里 面 读 取信 息 然后 定义 给 一 个 变量 


的 lookups 进 行 讲解 ， 还 有 目前 所 有 的 lookups 都 是 在 控制 


我 们 来 编写 一 个 playbook 然 后 了 解 整个 使 用 过 程 ， 如 下 所 示 : 


file 是 我 们 经 常 使 用 的 一 种 lookups 方 式 ， 它 的 原理 就 是 使 用 Python 的 codecs.open 打 开 文 件 然后 把 结果 返回 给 变量 ， 下 | 
- hosts: all 
gather facts: False 
vars: -— 
contents: "(( lookup('file', '/etc/sysconfig/network') }}" 
tasks: 


- name: debug lookups 


debug: msg-"The contents is ($ for i in contents.split("WMn") %} (( i }} {% endfor $)" 


为 了 codecs.open 读 取 文 件 后 格式 化 更 加 友好 的 显示 ， 这 里 使 


了 jinja 模 板 进行 了 相应 的 格式 化 ， 下 面 我 们 运行 这 个 playbook: 


[root@python ~]# ansible-playbook lookups.yaml -1 192.168.1.118 


PLAY [all] ***Xsxdoondooionokokneiokoopdioioaedoeaooiokooplooioneidloeinoioooek 
TASK: [debug lookups] ***Xx4xX4odXnXdodio Ae E A R e K AE A E K K R ROO 


ok: [192.168.1.118] => { 


"msg": "The contents is NETWORKING=yes HOSTNAME=python " 


PLAY RECAP 4d dek kk ok KKCKCOIOKKRCICROKORORORCKCOKORCKCJCICCKOROROACIC CROCI RCK KORR ROROROK 


192.168.1.118: ok-1 changed-0 unreachable-0 failed-0 


2.lookups password 


password 也 是 我 们 经 常 使 


的 一 种 lookups 方 式 ， 它 会 对 传 入 的 内 容 进 行 加 密 处 理 ， 如 下 所 示 : 


- hosts: all 
gather facts: False 
vars: -— 
contents: "{{ lookup('password', 'ansible book') ))" 
tasks: 


- name: debug lookups 
debug: msg-"The contents is {{ contents }}" 


运行 playbook 就 可 以 看 到 加 密 后 的 字符 了 : 


[root@python ~]# ansible-playbook lookups.yaml -1 192.168.1.118 


PLAY [all] 类 六 六 炎炎 淡 太 大 次 六 交 次 次 六 次 交 次 太 次 次 次 太 次 次 次 太 次 次 次 六 次 关 次 六 次 交 次 太 次 次 次 太 次 交 次 六 交大 淡 太 交大 次 太 交大 次 
TASK: [debug lookups] ***Xx4xx4odxkino dio Ae E A R E e AE A E A eee 


ok: [192.168.1.118] => { 
"msg": "The contents is Np6mOb9ZqrzVU3Sux5gH" 


PLAY RECAP J44dek dk ko Kk CARIOR Ae e e K A E A E A e Ae e A KOC E e e eek keel eek kk eek 


192.168.1.118 : ok=1 changed-0 unreachable-0 failed-0 


3.lookups pipe 


pipe lookups 的 实现 原理 很 简单 ， 如 果 阅 读 过 源码 的 读者 能 发 现 它 其 实 就 是 在 控制 机 器 上 调 


subprocess.Popen 执 行 命令 ， 然 后 将 命令 的 结果 传递 给 变量 ， 如 下 所 示 : 


- hosts: all 
gather facts: False 
vars: -— 
contents: "{{ lookup('pipe', 'date -$Y-£m-$d') }}" 
tasks: 


- name: debug lookups 


debug: msg-"The contents is ($ for i in contents.split("WMn") %} (( i }} ($ endfor $)" 


contents 的 内 容 就 是 在 Ansible 控 制 机 器 上 执行 date+%Y-%m-%d 的 结果 : 


[root@python ~]# ansible-playbook lookups.yaml -1 192.168.1.118 


PLAY [all] *xxddoxdooionokoko ioo doeoknoeiokoopiooiooeldioeiiooiioiooek 


TASK: [debug lookups] **XXxkxooekioceiookioockeionekdnaoeiogkeoaoeopoopoeoek 
ok: [192.168.1.118] => ( 
"msg": "The contents is 2015-05-31 " 


} 


PLAY RECAP 444 0 k ok A D KORR A E E Ae E A A KE E R KR eek 


192.168.1.118 : ok=1 changed=0 unreachable=0 failed=0 


4.lookups redis_kv 


为 需要 中 控 机 连接 Redis 所 以 需要 安装 Redis Python 库 ， 使 用 pip 方 式 安装 就 行 ， 


redis_kv 是 从 Redis 数 据 库 中 get 数 据 ， 


3l 


[root@python ~]# redis-cli 

redis 127.0.0.1:6379» set 'ansible' "good" 
OK 

redis 127.0.0.1:6379» get ansible 

"good" 

redis 127.0.0.1:6379» 


这 里 在 本 地 安装 了 一 个 Redis 服 务 器 ， 然 后 给 Ansible 设 置 了 一 个 值 ， 如 下 所 


然后 我 们 修改 playbook 再 运行 ， 如 下 所 示 : 
- hosts: all 
gather facts: False 
vars: 
contents: "(( lookup('redis kv', 'redis://localhost:6379,ansible') }}" 
tasks: 


- name: debug lookups 
debug: msg-"The contents is ($ for i in contents.split ("Mn") 
[root(python ~]# ansible-playbook lookups.yaml -1 192.168.1.118 
PLAY [all] 9X A A A AE AE E AE E A K A E A A A A AE E E E E E E DE K A A A A AE E E E K E K K IO A A K 
TASK: 
ok: [192.168.1.118] => { 
"msg": "The contents is 


%} {{ i }} {% endfor %}" 


[debug lookups] ** k k k de d i A k k k e A A A ko AE A R K K E AE A E K K K A A A k k 


good " 


PLAY RECAP Jod de A A kk ko E e A E E Ae E A RR AE A 


192.168.1.118 : ok=1 changed=0 unreachable=0 failed=0 


5.lookups template 


template 跟 file 方 式 有 点 类 似 ， 都 是 读 取 文件 ， 但 是 template 在 读 取 文件 之 前 需要 把 jinja 模 板 泻 染 完 后 再 读 取 ， 下 面 我 们 指定 一 个 jinja 模 板 文件 : 


1H 


worker processes {{ ansible processor cores 
IPaddress {{ ansible ethO.ipv4.address }} 


然后 修改 playbook 如 下 所 示 : 


- hosts: all 
gather facts: True 
vars: -— 
contents: 
tasks: 
- name: debug lookups 
debug: msg-"The contents is ($ for i in 


"((  lookup('template', './lookups.j2') }}" 


contents.split("Nn") %} (( i }} {% endfor $)" 


运行 结果 如 下 : 


需要 注意 的 是 ，lookups.j2 里 面 定义 的 变量 是 每 台 主机 自己 的 facts 信 息 ， 不 是 控制 机 的 facts 信 息 ， 


[root@python ~]# ansible-playbook lookups.yaml 


PLAY [all] 类 六 六 炎炎 火 太 交 关 痰 太 次 交 次 六 次 交 次 太 次 次 次 太 次 交 次 太 次 交 次 六 次 关 次 六 次 交 次 太 次 大 痰 六 次 次 次 太 次 大火 太 交大 次 六 交 大 交 
GATHERING FACTS% HK H A d A R d A K H AE K E A A E AE R E e K e E K E A k AE K E K A K K KKK AKK 


ok: [192.168.1.118] 
ok: [192.168.1.117] 
ok: [192.168.1.116] 
TASK: [debug lookups] *e**XXxxkexoeeeoceoonoookpooonoeogeopoeoooopnoeook 
ok: [192.168.1.116] => ( 
"msg": "The contents is worker processes 2;  IPaddress 192.168.1.116 v 
} 
ok: [192.168.1.117] => ( 
"msg": "The contents is worker processes 2; IPaddress 192.168.1.117 
} 
ok: [192.168.1.118] => ( 


"msg": "The contents is worker processes 1;  IPaddress 192.168.1.118 " 


} 

PLAY RECAP  # A A A A d A d A A A A A K H AE A A A E A AE A A A K A AE E e A E A A A E A K A A A A A E E A AK A 
192.168.1.116: ok=2 changed=0 unreachable=0 failed=0 

192.168.1.117: ok=2 changed=0 unreachable=0 failed=0 

192.168.1.118: ok=2 changed=0 unreachable=0 failed=0 


本 节 只 是 介绍 了 几 种 比较 常 
求 的 lookups 方 式 。 


4.5 playbook conditionals 


的 lookups 方 式 ，Ansible 其 他 lookups 方 式 还 有 很 多 ， 读 者 可 去 阅读 Ansible 源 码 或 者 从 官网 文档 进行 相应 的 了 解 ， 如 果 你 有 Python 


发 能 力 的 话 还 可 以 编写 适合 自己 需 


本 节 介绍 conditionals， 在 第 2 小 节 我 们 介绍 Ansible tasks 之 间 通 过 register 进 行 数据 的 传递 的 时 候 简单 提 到 过 conditionals， 而 在 实际 应 用 过 程 中 经 常会 磁 到 不 同 的 主机 可 能 要 执行 不 同 的 命令 , 或 者 


执行 某 个 task 的 时 候 需要 进行 一 个 简单 的 逻辑 判断 ， 此 刻 就 需要 在 写 task 的 时 候 进行 相应 的 判断 。 目 前 Ansible 的 所 有 conditionals 方 式 都 是 使 


when 进 行 判断 ，when 的 值 是 一 个 条 件 表达 式 ， 如 果 条 件 判 


断 成 立 ， 这 个 task 就 执行 某 个 操作 ， 如 果 条 件 判断 不 成 立 ， 该 task 不 执行 或 者 某 个 操作 会 跳 过 。 这 里 所 说 的 成 立 与 不 成 立 就 是 Python 语言 里 面 的 True 与 False， 关 于 这 个 条 件 表达 式 也 支持 多 个 条 件 之 间 and 
或 者 or， 还 需要 注意 的 是 ， 如 果 我 们 使 用 一 个 变量 进行 相应 的 判断 ， 一 定 要 清楚 该 变量 的 数据 类 型 。 下 面 我 们 通过 一 个 例子 介绍 常用 的 conditionals 表 达 式 ， 如 下 所 示 : 
m hosts: all 
tasks: 
- name: Host 192.168.1.118 run this task 


debug: msg-"(( ansible default ipv4.address }}" 
1 when: ansible default ipv4.address == "192.168.1.118" 


- name: memtotal « 500M and processor cores — 2 run this task 


debug: msg="{{ ansible fqdn }}" 
2 when: ansible memtotal mb < 500 and ansible processor cores 一 2 
- name: all host run this task 
shell: hostname 
register: info 
- name: Hostname is python Machie run this task 
debug: msg-"(( ansible fqdn }}" 
3 when: info['stdout'] "python" 
- name: Hostname is startswith M run this task 
debug: msg="{{ ansible fgdn }}" 
4 when: info['stdout'].startswith('M') 


“ 第 1 个 when 是 判断 facts 信 息 ， 因 为 ansible_default_ipv4 的 数据 结构 是 一 个 Python 字 典 ，ansible_default_ipv4.address 是 取 IP 地 址 然后 与 ”192.168.1.118” 进 行 判断 ， 这 个 判断 是 Python 语 法 的 判断 ， 还 有 
ansible_default_ipv4.address 的 值 是 Python 的 str 数 据 类 型 ， 所 以 一 定 要 用 引号 ”192.168.1.118”。 


“ 第 2 个 when 是 判断 facts 的 ansible_memtotal_mb 和 ansible_processor_cores 信 息 ， 因 为 这 两 个 信息 的 值 都 是 Python 的 int 数 据 类 型 ， 所 有 这 里 就 不 需要 引号 了 ， 然 后 两 个 条 件 表达 式 用 and 结 合 。 
“ 第 3 个 when 是 判断 第 3 个 task 的 运行 结果 stdout 的 值 ， 前 面 我 们 已 经 介绍 过 register 的 数据 结构 了 。 
:第 4 个 when 也 是 判断 第 3 个 task 的 运行 结果 stdout 的 值 ， 这 里 使 用 了 Python 的 str 内 置 方法 stattswith， 因 为 startswith 的 方法 最 终 会 返回 True 和 False， 所 以 这 也 是 一 个 条 件 表 达 式 。 


下 面 我 们 来 执行 这 个 playbook: 


[root@python ~]# ansible-playbook conditionals.yaml 
PLAY [all] XXe oo XO OO A A E E E E IO K A K A A A A A AE E E E E EK K A K A A A 
GATHERING FACTS dXX d A k A k A do ko AE K AE E AE A e K K A A E A K E A A AA AAA 


ok: [192.168.1.118] 
ok: [192.168.1.117] 
ok: [192.168.1.116] 
TASK: [Host 192.168.1.118 run this task] *'eeeeeeieeekdeeeeeieeeieeieiner 
skipping: [192.168.1.116] 
skipping: [192.168.1.117] 
ok: [192.168.1.118] => ( 
"msg": "192.168.1.118" 
li 
TASK: [memtotal < 500M and processor cores 一 2 run this task] 
skipping: [192.168.1.116] m 
skipping: [192.168.1.118] 
ok: [192.168.1.117] => ( 
"msg": "Minion" 
dagks plc tose ram aite taui] KEFKRECKK YE EDU ET EEEE KE DUE EE a ERE 
changed: [192.168.1.117] 
changed: [192.168.1.116] 
changed: [192.168.1.118] 
TASK: [Hostname is python Machie run this task] *'exexooeeeeieee 
skipping: [192.168.1.116] 
skipping: [192.168.1.117] 
ok: [192.168.1.118] => ( 
"msg": "python" 
} 
TASK; [Hostname is startswith M run this task] +#d aede added adek kk 
skipping: [192.168.1.118] 
ok: [192.168.1.116] => { 
"msg": "Master" 


} 
ok: [192.168.1.117] => ( 
"msg": "Minion" 


PLAY RECAP x4 kd koe kk Ok e A A E E E KORR A Ae e E A E E E E e e ROCK RR KR KK OK 


192.168.1.116 : ok=3 changed-1 unreachable-0 failed-0 
192.168.1.117 : ok=4 changed-1 unreachable-0 failed-0 
192.168.1.118 : Ok=4 changed-1 unreachable-0 failed-0 


skipping 表 示 该 task 本 机 没有 执行 ， 整 个 过 程 可 以 清楚 地 看 到 每 个 task 在 哪 台 机 器 执行 了 ， 哪 台 机 器 没有 执行 。 


4.6 Jinja2 filter 


如 果 使 用 过 jinja2 模 板 ， 肯 定 对 Jinja2 的 filter 不 陌生 ，jJinja2 是 目前 比较 流行 的 一 款 模板 语言 ，Ansible 和 SaltStack 这 两 个 配置 管理 工具 都 是 只 把 它 当 作 默 认 的 模板 语言 。Ansible 默 认 支 持 jinja2 语 言 
内 置 filter，Jinja2 官 网 也 提供 了 很 多 filter， 建 议 读者 阅读 ， 本 节 会 选择 几 个 经 常 使 用 的 filter 进 行 介绍 ， 如 下 所 示 : 


- hosts: all 
gather facts: False 
vars: -— 
list: [1,2,3,4,5] 
one; "1" 
str: "string" 
tasks: 
- name: run commands 
shell: df -h 
register: info 
- name: debug pprint filter 
1 debug: msg-"(( info.stdout | pprint ])" 
- name: debug conditionals filter 
debug: msg-"The run commands status is changed" 


2 when: info|changed 
- name: debug int capitalize filter 

3 debug: msg-"The int value {{ one | int }} The lower value is (( str | capitalize }}" 
- name: debug default filter 

4 debug: msg-"The Variable value is (( ansible | default('ansible is not define') ])" 
- name: debug list max and min filter 

5 debug: msg-"The list max value is {{ list | max }} The list min value is (( list | min ))" 
- name: debug ramdom filter 

6 debug: msg-"The list ramdom value is {{ list | random )) and generate a random value is {{ 1000 | random(1, 10) }}" 
- name: debug join filter 

了 debug: msg-"The join filter value is (( list | join("+") ))" 
- name: debug replace and regex replace filter 


8 debug: msg-"The replace value is {f str | replace('t','T') ]) The regex replace vaule is {{ str | regex replace('.*tr(.*)$', FANDEN pom 


- 第 1 个 是 对 info.stdout 结 果 使 用 pprint filter 进 行 格式 化 。 

“ 第 2 个 是 对 info 的 执行 状态 使 用 changed filter 进 行 判断 。 

' 第 3 个 是 对 one 的 值 进行 int 转 变 ， 然 后 对 stt 的 值 进行 capitalize 格 式 化 。 

“ 第 4 个 是 对 Ansible 变 量 进行 判断 ， 如 果 该 变量 定义 了 就 引用 它 的 值 ， 如 果 没有 定义 就 使 用 default 内 值 。 


“ 第 5 个 是 对 list 内 的 值 进 行 最 大 值 max 和 最 小 值 min 取 值 。 


- 第 6 个 是 对 list 内 的 值 使 用 random filter 随 机 挑选 一 个 ， 然 后 


“ 第 7 个 是 对 list 内 的 值 使 用 join filter 连 接 在 一 起 。 
第 8 个 是 对 str 的 值 使 用 replace 与 regex_replace 替 换 。 


下 面 来 运行 playbook， 看 看 结果 : 


随机 生成 1000 以 内 的 数字 ，step 是 10。 


[root@python ~]# ansible-playbook filter.yaml -1 192.168.1.118 


PLAY [all] *xAx4odioioO OO A K K A E E K E E E K A E K K E e E K A E E K E E K A E E E A 


u'Filesystem Size Used Avail Use% Mounted on\\n/dev/mapper/VolGroup-lv_root 6.7G 1.9G 


TASK: [run commands] >% A A A E k A k A A A A A A AEE E EE A K A A A A AK E AK KKK 
changed: [192.168.1.118] 

TASK: [debug to nice yaml filter] 44443 KK KKA K KA A 
ok: [192.168.1.118] => ( 

"msg": " 

} 

TASK: [debug conditionals filter] ***exexkeoopooekoopooeonoeoooner 
ok: [192.168.1.118] => ( 


msg": "The run commands status is changed" 
} 
TASK: [debug int capitalize filter] xen HOO ROO 
ok: [192.168.1.118] => ( 

"msg": "The int value 1 The lower value is String" 
} 
TASK: [debug default filter] ***Xexeeieceeoeoonpoaoedaeiooieonoenoeonor 
ok: [192.168.1.118] => ( 

"msg": "The Variable value is ansible is not define" 
} 
TASK: [debug list max and min filter] **eeexeXd kon noe 
ok: [192.168.1.118] => ( 


5 The list min value is 


1" 


"The list ramdom value is 2 and generate a random value is 281" 


msg": "The list max value is 
} 
TASK: [debug ramdom filter] **Xeeeeeeieceeooeoonponoednaeooieonoenoeonor 
ok: [192.168.1.118] => ( 

"msg": 
} 
TASK: [debug join filter] %5 a a ak k k e k e e k e A K e EK e A K E A EA E k 
ok: [192.168.1.118] => { 

"msg": "The join filter value is 1+2+3+4+5" 
} 
TASK: [debug replace and regex replace filter] **eessssseeeeeeeke 
ok: [192.168.1.118] => ( 


"msg": "The replace value is sTring 


The regex replace vaule is ing " 


PLAY RECAP 44 00 kk kk E KK A E Ae RR R KORR OK RR KR KR eek 


192.168.1.118 : Ok=9 changed-1 


4.7 playbook 内 置 变量 


unreachable-0 


failed-0 


4.4G 31$ /ANntmpfs 


246M 0 246M 0$ /dev/shmNN 


变量 进行 详细 讲解 ， 最 后 我 们 也 会 通过 一 个 案例 告诉 大 家 如 何 


oupSs} 格 式 进 行 调 用 。 当 然 我 们 还 可 
机 所 在 的 groups 名 称 。 如 果 没有 定 


playbook 默 认 已 经 内 置 变 量 ， 掌 握 了 这 些 变量 之 后 ， 我 们 就 可 以 很 容易 实现 关于 主机 相关 的 逻辑 判断 了 。 本 节 挑 选 了 7 个 经 常 使 用 的 内 
去 引用 这 些 变量 

1.groups 和 group_names 

groups 变 量 是 一 个 全 局 变量 ， 它 会 打印 出 Inventory 文 件 里 面 的 所 有 主机 以 及 主机 组 信息 ， 它 返回 的 是 一 个 JSON 字 符 串 ， 我 们 可 以 直接 把 它 当 作 一 个 变量 使 用 {{gr 
以 引用 {{groupsj} 字 符 串 里 面 的 数据 ， 比 如 引用 docker 组 的 host， SUR ud 就 行 ， 它 会 返回 一 个 主机 list 列 表 ，group_names 变 量 会 打印 当前 3 
义 会 返回 ungrouped， 它 返回 的 也 是 一 个 组 名 称 的 list 列 表 。 

2.hostvars 

hostvars 是 用 来 调用 指定 主机 变量 ， 需 要 传 入 主机 信息 ， 结果 也 是 一 个 JSON 字 符 串 ， 同 样 ， 也 可 以 直接 引用 JSON 字 符 串 内 的 指定 信息 。 


3.inventory_ hostname 和 inventory_hostname_short 


inventory_hostname 变 量 是 返回 


4.play hostsf[linventory dir 


play_hosts 变 量 是 用 来 返回 当前 playbook 运 行 的 主机 信息 ， 返 


5. 应 用 案例 


Inventory 文 件 里 面 定义 的 主机 名 ， 


inventory_hostname_short 会 返回 


nventory 文 件 中 主机 名 的 第 一 部 分 。 
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格式 是 主机 Ilist 结 构 ， 


inventory dir 变 


我 们 先 来 看 一 个 Jinja2 的 模板 文件 ， 在 这 个 模板 文件 里 


Ej 


Hr 
Ej 


介绍 的 所 有 playbook 内 置 变量 ， 如 下 所 示 : 


量 是 返回 当前 playbook 使 有 


的 Inventory 目 录 。 


groups info 
(( groups }} 


docker groups info — 
$ for host in groups['docker'] 


-( 


8) 


hostvars[host]['inventory hostname'] 


}} ethO IP is 


{{ hostvars[host]['ansible default ipv4']['address'] 


+{{ hostvars[host]['inventory hostname'] }} groups is {{ group names ]) 
"E hostvars[host]['inventory hostname'] }} short is {{ inventory hostname short ]] 
*(( play hosts }} 
G(( inventory dir }} 
$ endfor $} 
这 里 先 不 用 关注 这 个 模板 文件 的 作用 ， 在 我 们 运行 完成 后 根据 生成 后 文件 结果 就 会 对 这 个 Jinja 模 板 的 结构 很 熟悉 了 。 首 先 来 看 一 下 我 们 的 Inventory 信 息 ， 这 里 采用 了 多 个 Inventory 文 件 ， 如 下 所 示 : 


rootüMaster inventory]# tree . 

E docker hosts 

0 directories, 2 files 

[root@Master inventory]# cat docker 
[docker] 

172.17.42.10[1:3] 

[docker:vars] 

ansible ssh pass-'123456' 
[ansible:children] 

docker 

[root@Master inventory]f cat hosts 
172.17.42.101  ansible ssh pass-'123456' 
172.17.42.102  ansible ssh pass-'123456' 
172.17.42.1 ansible ssh pass-'123456' 


我 们 简单 定义 一 个 泻 染 Jinjia 模 板 的 playbook: 


[root@Master ~]# cat template.yaml 
- hosts: all 
tasks: 
- name: test template 
template: src-jinja.j2 dest-/tmp/cpis 


jinjaj2 就 是 上 面 定义 的 jinja 模 板 文件 ， 最 后 我 们 来 执行 这 个 playbook : 


[rootüMaster ~]# ansible-playbook template.yaml 


PLAY [all] *Xdxxdonkxidondio i oio dioonoiOokoonoioooidaoinoioeiinoioooek 
GATHERING FACTS% AK A A d A R E A E AEK E A k E AE R E e K e E K E Ae k e AE R E K E A K E A KKK AK K 


ok: [172.17.42.102] 


ok: [172.17.42.103] 

ok: [172.17.42.101] 

ok: [172.17.42.1] 

TASK: [test template] **kxx4ooxk kk ROO ORO eee 


changed: [172.17.42.102] 
changed: [172.17.42.101] 
changed: [172.17.42.103] 
changed: [172.17.42.1] 


PLAY RECAP A440 x kk KK E A Ae A e Ae E AE A RCK KORR 


172.17.42.1 : ok=2 changed=1 unreachable=0 failed=0 
172.17.42.101 : ok=2 changed-1 unreachable-0 failed-0 
172.17.42.102 : ok=2 changed-1 unreachable-0 failed-0 
172.17.42.103 : Ok=2 changed-1 unreachable-0 failed-0 


我 们 再 挑选 一 台 机 器 看 看 它 生 产后 的 文件 内 容 ， 如 下 所 示 : 


[root@703bb6924049 /]# cat /tmp/cpis 


groups info 
('ungrouped 


['172.17.42.1'], 'all': ['172.17.42.1', '172.17.42.101', '172.17.42.102', '172.17.42.103'], 'ansible': ['172.17.42.101', '172.17.42.102', '172.17.42.103'], 'docke 


docker groups info === 
-172.17.42.101 eth0 IP is 172.17.0.5 
1172.17.42.101 groups is ['ansible', 'docker'] 
172.17.42.101 short is 172 
*['172.17.42.1', '172.17.42.101', '172.17.42.102', '172.17.42.103'] 


G/root/inventory 
-172.17.42.102 eth0 IP is 172.17.0.4 
1172.17.42.102 groups is ['ansible', 'docker'] 


_ 172.17.42.102 short is 172 
*['172.17.42.1', '172.17.42.101', '172.17.42.102', '172.17.42.103'] 


G/root/inventory 
72172.17.42.103 eth0 IP is 172.17.0.3 
*172.17.42.103 groups is ['ansible', 'docker'] 


_ 172.17.42.103 short is 172 
*['1/2,17.42,1', '"172.17,42.101', '172.17.42,.102', '172.17.42.103"] 
G/root/inventory 


看 到 这 个 结果 后 ， 我 们 再 回 到 前 面 定义 的 Jinja 模 板 ， 进 行 对 比 后 就 一 目 了 然 了 。 需 要 注意 的 是 一 定 要 了 解 每 个 变量 返回 的 数据 结构 类 型 ， 否 则 很 容易 在 我 们 引用 变量 的 时 候 出 现 异常 或 者 提示 “XXX 没 
有 此 属性 相关 ”错误 。 


48 ”本 章 小 结 


本 章 主 要 围绕 playbook 相 关 的 知识 进行 介绍 ， 因 为 playbook 是 Ansible 配 置 管 理 中 最 重要 的 组 件 ， 所 以 本 书 采用 专门 的 章节 来 讲解 playbook。 当 然 playbook 还 有 其 他 特性 以 及 相关 知识 点 本 书 没有 进行 相应 的 


介绍 ， 读 者 可 以 去 参考 官网 文档 进一步 学 习 。 下 一 章 我 们 将 介绍 Ansible 最 佳 实践 相关 的 知识 ， 是 我 们 在 工作 中 使 用 Ansible 过 程 中 需要 注意 的 地 方 。 


$8852: ”Ansible 最 佳 实践 


通过 前 面 几 章 的 学 习 我 们 已 经 了 解 Ansible 的 基本 核心 功能 ， 这 些 知识 点 可 以 帮助 我 们 完成 日 常 工 作 中 的 很 多 需求 ， 但 是 如 果 想 在 工作 环境 中 开发 一 个 完整 的 项 目 还 是 稍 有 欠缺 ， 所 以 本 章 将 介绍 如 何在 
大 规模 生产 环境 中 使 用 Ansible。 首 先 我 们 通过 优化 Ansible 执 行 速度 来 提高 Ansible 的 效率 ， 然 后 介绍 如 何 规范 Ansible 整 个 工作 目录 ， 最 后 介绍 在 多 环境 下 如 何 更 好 地 使 用 Ansible 等 内 容 。 


5.1 ”优化 Ansible 速 度 


有 些 人 说 Ansible 的 执行 效率 比 SaltStack 差 ,确实 ,使 用 默认 的 SSH 方 式 通 信 ， 效 率 远 低 于 SaltStack 的 zeromq 消 息 队列 。 但 是 通过 本 章 你 会 发 现 可 以 优化 Ansible 的 执行 速度 ， 可 以 做 到 并 不 比 
SaltStack 差 。 我 在 本 地 Dcoker 环 境 下 开启 10 个 容器 的 对 比 实例 如 下 所 示 : 


[root@vm10-160-112-18 ~]# time ansible all -m ping -o 


172.17.0.9 | success >> ("changed": false, "ping": "pong") 
172.17.0.4 | success >> ("changed": false, i "pong"] 
172.17.0.7 | success >> ("changed": false, "pong"] 
172.17.0.5 | success >> ("changed": false, "ping": "pong") 
172.17.0.2 | success >> ("changed": false, "ping": "pong") 
172.17.0.3 | success >> ("changed": false, "ping": "pong") 
172.17.0.6 | success >> [("changed": false, i ) 
172.17.0.8 | success >> [("changed": false, ) 
172.17.0.10 | success >> ("changed": false, i pong"] 
172.17.0.11 | success >> ("changed": false, i pong"] 
real Om1.099s 

user 0m0.613s 


sys 0m0.343s 
[rootévm10-160-112-18 ~]# time salt \* test.ping --output-no return 
0a862d345191: 
b771903b732£f: 
7c5df32ad76f: 
76736150919b: 
d5b7a49f1484: 
3159804c£8605: 
5ela43dfa76a: 


e324a3ed0b58: 
ff9f0625e3cl: 
facl12b82e143: 
real Om1.589s 
user Om1.162s 
sys Om0.051s 


下 面 我 们 就 开始 介绍 如 何 优化 Ansible 的 速度 。 


1. 开 启 SSH 长 连接 


我 们 知道 Ansible 模 式 是 使 用 SSH 和 远 端 主机 进行 通信 ， 所 以 Ansible 对 SSH 的 依赖 性 非常 强 ， 这 节 我 们 就 从 SSH 入 手 来 优化 Ansible。 在 OpenSSH 5.6 版 本 以 后 SSH 就 支持 了 Multiplexing， 关 于 这 个 特 


性 我 们 可 以 参考 文章 : https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Multiplexing。 所 以 如 果 Ansible 中 控 机 的 SSH-V 版 本 高 于 5.6 时 ， 我 们 可 以 直接 在 ansible.cfg 文 件 中 设置 SSH 长 连接 即 可 。 设 
置 参数 如 下 : 


sh args = -o ControlMaster-auto -o ControlPersist-5d 


ControlPersist=5d 这 个 参数 是 设置 整个 长 连接 保持 时 间 这 里 设置 为 5 天 。 如 果 开启 后 ， 通 过 SSH 连 接 过 的 设备 都 会 在 当前 ansible/cp/ 目 录 下 生成 一 个 socket 文 件 。 也 可 以 通过 netstat 命 令 查 看 ,会 发 


现 有 一 个 ESTABLISHED 状 态 的 连接 一 直 与 远 端 设备 进行 着 TCP 连 接 : 


tcp 0 0 172.17.42.1:27607 172.17.0.11:22 ESTABLISHED 
tcp 0 0 172.17.42. 0503 172.17.0.4:22 ESTABLISHED 
tcp 0 0 172.17.42. 911 172.17.0.8:22 ESTABLISHED 

tcp 0 0 172.17.42. 6064 172.17.0.7:22 ESTABLISHEDD 
tcp 0 D 172.17.42. 4425 172.17.0.6:22 ESTABLISHED 
tcp 0 0 172.17.42.1:59930 172.17.0.9:22 ESTABLISHED 
tcp 0 0 172.17.42.1:64755 172.17.0.3:22 ESTABLISHED 
tcp 0 0 172.17.42.1:48651 172.17.0.5:22 ESTABLISHED 
tcp 0 0 172.17.42.1:9974 172.17.0.2:22 ESTABLISHED 

tcp 0 0 172.17.42.1:18154 172.17.0.10:22 ESTABLISHED 


t, 


如 果 我 们 的 中 控 机 SSH-V 版 本 低 于 5.6 时 ， 则 需要 升级 到 5.6 版 本 后 才能 启用 SSH 的 Multiplexing 特 性 。 对 于 中 控 机 系统 是 centos 系 统 时 可 以 直接 使 用 yum 源 升级 版 本 。 下 面 是 centos 系 统 的 一 个 repo 文 
然后 运行 yjum update openssh-clients 即 可 完成 升级 操作 。 


# cat /etc/yum.repos.d/openssh.repo 

[CentALT] 

name-CentALT Packages for Enterprise Linux 6 - $basearch 
baseurl-http://mirror.neu.edu.cn/CentALT/6/S$basearch/ 
enabled-1 

gpgcheck-0 


如 果 中 控 机 不 方便 使 用 yum 去 升级 openssh-clients 时 ， 也 可 以 直接 从 


他 机 器 复制 一 个 高 版 本 的 SSH2 进 制 文 件 ， 然 后 软 链接 到 本 地 的 /usr/bin/ssh 即 可 完成 升级 操作 。 


2. 开 启 pipelining 


pipelining 也 是 OpenSsH 的 一 个 特性 ， 我 们 在 第 1 章 的 时 候 学 习 了 Ansible 的 整个 执行 流程 ， 其 中 有 一 个 流程 就 是 把 生成 好 的 本 地 Python 脚本 PUT 到 远 端 服务 器 。 如 果 开 启 了 pipelining， 这 个 过 程 将 在 


SSH 的 会 话 中 进行 ， 这 样 可 以 大 大 提高 整个 执行 效率 。 当 然 开启 pipelining， 需 要 被 控制 机 /etc/sudoers 文 件 编辑 当前 Ansible SSH 用 户 的 配置 为 requiretty。 否 则 在 执行 Ansible 的 时 候 会 提示 sudo: 
sorry, you must have a tty to run sudo。 下 面 我 们 通过 一 个 示例 展示 整个 过 程 。 首 先 在 ansible.cfg 配 置 文件 中 设置 pipelining 为 True。 


pipelining = True 


再 来 看 开启 了 pipelining 之 后 整个 Ansible 执 行 流程 有 什么 变化 。 


开启 pipelining 之 前 的 流程 如 下 : 


[root8vm10-160-112-18 ~]# ansible 172.17.0.2 -a 'w' -vvvv 
ESTABLISH CONNECTION FOR USER: root 
REMOTE MODULE command w #USE SHELL 
EXEC sshpass -d6 ssh -C -tt -vvv -o ControlMaster-auto -o ControlPersist-5d -o ControlPath-"/root/.ansible/cp/ansible-ssh-$h-$p-$r" -o StrictHostKeyChecking-no -o GSSAPIAut 
PUT /tmp/tmpn5vV9X TO /root/.ansible/tmp/ansible-tmp-1435415232.17-6153092968405/command 
EXEC sshpass -d6 ssh -C -tt -vvv -o ControlMaster-auto -o ControlPersist-5d -o ControlPath-"/root/.ansible/cp/ansible-ssh-$h-$p-$r" -o StrictHostKeyChecking-no -o GSSAPIAut 
172.17.0.2 | success | rc=0 >> 
14:27:12 up 12 days, 5:05, 1 user, load average: 1.00, 1.01, 1.05 
USER TTY FROM LOGIN IDLE JCPU PCPU WHAT 
root pts/0 172.17.42.1 14:27 0.00s 0.03s 0.00s /bin/sh -c LANG 


开启 pipelining 之 后 的 流程 如 下 : 


[root8vm10-160-112-18 ~]# ansible 172.17.0.2 -a 'w' -vvvv 

ESTABLISH CONNECTION FOR USER: root 

REMOTE MODULE command w #USE SHELL 

EXEC sshpass -d6 ssh -C -vvv -o ControlMaster-auto -o ControlPersist-5d -o ControlPath-"/root/.ansible/cp/ansible-ssh-$h-$p-$r" -o StrictHostKeyChecking-no -o GSSAPIAuthent 
172.17.0.2 | success | rc=0 >> 

14:27:21 up 12 days, 5:05, 0 users, load average: 1.00, 1.01, 1.05 
USER TTY FROM LOGINQ IDLE JCPU PCPU WHAT 


我 们 可 以 看 到 开启 了 pipelining 之 后 整个 流程 少 了 一 个 PUT 脚本 去 远 端 服务 器 的 流程 ， 第 一 步 就 是 调用 sshpass 执 行 脚本 。 


3. 开 启 accelerate 模 式 


Ansible 还 有 一 个 accelerate 模 式 ， 这 和 前 面 SSH 的 Multiplexing 有 点 类 似 ， 因 为 都 依赖 Ansible 中 控 机 跟 远 端 机 器 有 一 个 长 连接 。 但 是 accelerate 是 使 用 Python 程序 在 远 端 机 器 上 运行 一 个 守护 进程 ， 


然后 Ansible 会 通过 这 个 守护 进程 监听 的 端口 进行 通信 。 开 启 accelerate 模 式 很 简单 ， 只 要 在 playbook 中 配置 accelerate: true 即 可 。 但 是 需要 注意 ， 如 果 开启 accelerate 模 式 ， 则 需要 在 Ansible 中 控 机 与 远 
端 机 器 都 安装 python-keyczar 软 件 包 。 下 面 是 在 ansible.cfg 文 件 中 定义 一 些 accelerate 参 数 ， 例 如 远 端 机 器 监听 端口 以 及 一 些 timeout 设 置 。 当 然 这 些 参数 也 可 以 在 写 playbook 的 时 候 再 定义 : 


[accelerate] 

accelerate port - 5099 
accelerate timeout - 30 
accelerate connect timeout - 5.0 


关于 accelerate 模 式 的 实现 过 程 ， 建 议 阅读 源码 文件 ansible/modules/coreyutilities/helperaccelerate.py 和 ansible/runnerYconnection_plugins/accelerate.py。 如 果 采 用 了 accelerate 模 式 ， 整 个 


Ansible 流 程 将 变 得 不 一 样 了 。 读 者 可 以 使 用 debug 参 数 -vvvv 查 看 整个 执行 过 程 。 


4. 设 置 facts 缓 存 


如 果 细 心 的 话 ， 就 会 发 现在 执行 playbook 的 时 候 ， 默 认 第 一 个 task 都 是 GATHERING FACTS， 这 个 过 程 就 是 Ansible 收 集 每 台 主 机 的 facts 信 息 。 方 便 我 们 在 playbook 中 直接 引用 facts 里 的 信息 。 当 然 
如 果 你 的 playbook 中 不 需要 facts 信 息 ， 可 以 在 playbook 中 设置 gather facts: False 来 提高 playbook 效 率 。 但 是 如 果 我 们 既 想 在 每 次 执行 playbook 的 时 候 都 能 收集 facts， 又 想 加 速 这 个 收集 过 程 ， 那 么 就 
配置 facts 缓 存 了 。 目 前 Ansible 支 持 使 用 son 文 件 存储 facts 信 息 。 下 面 我 们 首先 通过 示例 来 了 解 如 何 使 用 json 文 件 存储 facts 信 息 : 


Tm 


gathering - smart 

fact caching timeout = 86400 

fact caching - jsonfile 

fact caching connection = /dev/shm/ansible fact cache 


这 里 设置 facts 过 期 时 间 为 86400 秒 (会 根据 文件 的 最 后 修改 时 间 来 确定 facts 信 息 是 否 过 期 ) 。json 文 件 存放 在 /dev/shm/ansible_fact_cache 下 ， 下 面 我 们 执行 一 下 playbook: 


[root@vm10-160-112-18 ~]# ansible-playbook site.yaml -1 172.17.0.2 


PLAY [all] XXX Xo XE JO KO OIOOOO E E E E A K A E A E A A AE E E E EE K A K A K A A 
GATHERING FACTS AJX4XXXddckkd dock kk ook KORR OROROEOCERORORORCCRROROROICRROROROK 
ok: [172.17.0.2] 

TASK: [test] AA A A a eoLooooooo ook elololoikik joli kj lioe 
changed: [172.17.0.2] 


PLAY RECAP A440 d kk KK KCKCOIORKORCICOKORORORCICORORCRCICCKCRORCRCIC ORCI OK KORR 


172.17.0.2 : ok=2 changed-1 unreachable-0 failed-0 


我 们 再 执行 playbook 的 时 候 就 没有 facts 收 集 这 个 过 程 了 。 直 接 从 json 文 件 中 读 取 facts 缓 存 信息 : 


[root8vm10-160-112-18 ~]# ansible-playbook site.yaml -1 172.17.0.2 
PLAY [all] A A A A A A AEE E E E E R K E lO Ko Ko K A K A A E A A AE E E E E KE K A K A A A 
AT 


changed: [172.17.0.2] 


PLAY RECAP 444 00 k ck kk ROI e A E Ae E E ROCK CIO R KR OK 


172.17.0.2 : ok-1 changed-1 unreachable-0 failed-0 


再 来 查看 facts 的 json 存 放 文件 : 


[root@vm10-160-112-18 ~]# ls -1 /dev/shm/ansible fact cache/* 
-rw-r--r-- 1 root root 6700 6 月 27 23:52 /dev/shm/ansible fact cache/172.17.0.2 


文件 内 容 就 是 一 个 josn 文 件 。 文 件 名 称 是 inventory hostname。 可 以 通过 cat/dewshmyansible fact cache/172.17.0.2|python-m json.tool 查 看 文件 内 容 。 下 面 我 们 再 来 通过 本 机 的 Redis 存 储 facts 
信息 。 目 前 facts 存 储 还 不 支持 远 端 ， 所 以 需要 在 Ansible 中 控 机 上 安装 Redis 服 务 ， 然 后 安装 Redis Python 库 。 使 用 yum install redis-y 安 装 Redis 服 务 即 可 。 可 以 使 用 pip install redis 安 装 Redis Python 
库 。 首 先 配置 ansible.cfg 文 件 如 下 代码 所 示 : 


gathering = smart 
fact caching timeout = 86400 
fact caching - redis 


然后 继续 运行 上 面 测试 的 playbook。 可 以 再 开 一 个 终端 查看 本 机 的 Redis 信 息 。 


Alt text 


最 后 可 以 连接 到 Redis 上 查看 KEY 信 息 : 


[root@vm10-160-112-18 ~]# redis-cli 
127.0.0.1:6379» KEYS * 


1) "ansible cache keys" 

2) "ansible facts172.17.0.9" 
3) "ansible facts172.17.0.11" 
4) "ansible facts172.17.0.7" 
5) "ansible facts172.17.0.3" 
6) "ansible facts172.17.0.2" 
7) "ansible facts172.17.0.5" 
8) "ansible facts172.17.0.6" 
9) "ansible facts172.17.0.4" 
10) "ansible facts172.17.0.10" 
11) "ansible facts172.17.0.8" 


127.0.0.1:6379» 


Ansible 的 facts 存 储 还 支持 memcached 存 储 ， 配 置 方法 也 很 简单 ， 在 memcached 服 务 运行 后 配置 ansible.cfg 即 可 。 这 里 就 不 再 介绍 了 。 需 要 注意 的 是 ， 要 安装 python-memcached 依 赖 库 : 


gathering = smart 
fact caching timeout = 86400 
fact caching = memcached 


5.2 目录 结构 


在 日 常 使 用 Ansible 做 配置 管理 工作 中 ， 经 常会 遇 到 很 多 role 和 playbook 文 件 和 目录 。 还 有 一 些 自 定义 的 模块 ， 等 等 。 其 实 官方 没有 规定 一 个 任务 是 通过 playbook 文 件 直接 使 用 还 是 使 用 role 形 式 ， 在 
前 面 的 章节 我 们 也 介绍 了 如 果 使 用 role 形 式 封装 你 的 playbook， 并 且 任务 依赖 文件 或 者 依赖 其 他 的 任务 时 ， 建 议 还 是 以 role 形 式 存在 ， 这 样 方便 日 后 管理 和 维护 。 如 果 只 是 一 个 简单 的 独立 任务 ， 只 使 
playbook 文 件 即 可 ， 这 样 方便 我 们 在 其 他 地 方 进行 引用 。 下 面 介绍 官网 最 佳 实践 中 推举 使 用 的 Ansible 工 作 目 录 的 结构 。 统 一 工作 目录 如 下 : 

production # production 环 境 的 jnventory 文 件 

stage # stage 环 境 的 jnventory 文 件 

group vars/ 

groupl # groupl 定 义 的 变量 文件 

group2 4 group2 定 义 的 变量 文件 
host vars/ 

hostnamel # hostname1 定 义 的 变量 文件 

hostname2 # hostname2 定 义 的 变量 文件 

library/ + 自 定义 模块 存放 目录 

filter plugins/ + 自 定义 filter 插 件 存放 目录 

site.yml # playbook 统一 入 口 文件 

webservers.yml 4 特殊 任务 playbook 文 件 

roles/ 4 role 存放 目录 

common/ # common 角色 目录 
tasks/ # 
main. yml # common 角色 task 入 口 文件 
handlers/ # 
main.yml 4 common 角色 handlers 入 口 文件 
templates/ # 
ntp.conf.j2 4 common 角色 templates 文件 


files/ 


+ 


bar.txt # common 角色 files 资源 文件 
foo.sh # common 角色 files 资源 文件 
vars/ + 
main. yml # common 角色 变量 定义 文件 
defaults/ # 
main. yml * common 角色 变量 定义 文件 (优先 级 低 ) 
meta/ + 
main. yml # common 角色 依赖 文件 
webtier/ 4 webtier 角色 目录 (与 common 角 色目 录 平 级 ) 
monitoring/ 4 monitoring 角色 目录 (与 common 角 色目 录 平 级 ) 
fooapp/ 4 fooapp 角色 目录 (与 common 角 色目 录 平 级 ) 


使 用 这 种 方式 规范 Ansible 目 录 结构 对 日 后 维护 与 管理 有 很 大 帮助 ， 当 然 这 个 规范 方式 不 一 定 是 最 好 的 ， 也 不 一 定 合适 每 个 人 ， 大 家 可 以 根据 自己 的 实际 环境 进行 相应 调整 。 


5.3 ”定义 多 环境 


在 实际 的 工作 环境 中 可 能 会 遇 到 不 同 环境 的 机 器 ， 比 如 笔者 公司 的 流程 是 ， 需 要 部 署 一 套 feature 环 境 给 开发 者 去 做 功能 开发 ， 等 功能 开发 完成 后 ， 又 需要 给 QA 部 门 部 署 一 套 stage 环 境 ， 最 后 部 署 到 生 
产 环境 时 又 需要 针对 production 环 境 进行 一 次 部 署 。 其 实在 整个 部 署 环节 里 有 很 多 重复 性 的 工作 ， 变 化 的 可 能 就 是 目标 机 器 以 及 一 些 特殊 的 配置 。 那 么 如 何在 实际 工作 中 去 考虑 不 同 环境 中 的 部 署 问题 呢 ， 
下 面 给 大 家 介绍 一 下 对 应 的 操作 。 


在 笔者 公司 有 一 个 CMDB 系 统 里 面 存 放 着 所 有 环境 的 机 器 ， 我 们 采用 脚本 的 方式 定期 去 CMDB 里 拉 取 每 个 环境 每 个 业务 角色 的 机 器 ， 然 后 生成 三 个 Inventory 文 件 (production、stage 和 feature) , 
最 后 采用 多 Inventory 方 式 进行 引用 。 这 些 文件 里 面 的 内 容 是 根据 每 个 业务 进行 分 组 的 ， 例 如 production 环 境 的 某 种 业务 角色 的 组 名 称 叫 作 P@ 业 务 名 ， 也 就 是 说 P@mongodb 代 表 production 环 境 的 
mongodb 主 机 组 。 这 是 第 一 种 方式 ， 即 通过 Inventory 方 式 去 区 分 多 环境 下 的 主机 或 者 主机 组 信息 。 接 下 来 的 工作 就 是 怎么 能 够 尽量 编写 重复 的 playbook 或 者 role 呢 。 这 个 时 候 我 们 可 以 根据 不 同 环境 配 
管理 中 的 配置 方法 存在 哪些 异同 进行 整合 。 如 果 所 有 环境 中 都 是 一 样 的， 我 们 就 可 以 直接 写 一 个 task， 如 果 不 同 环境 需要 调用 不 同 的 playbook 或 者 task， 可 以 通过 when 方 式 去 判断 当前 的 主机 信息 存在 哪 
个 环境 中 ， 然 后 进行 引用 。 


54 灰 度 发 布 与 检测 


在 实际 配置 部 署 过 程 中 为 了 保证 整个 配置 部 署 的 效率 ， 我 们 一 定 要 对 自己 编写 的 playbook 或 者 role 进 行 相应 的 测试 后 ， 才 能 应 用 到 生产 环境 中 ， 下 面 就 介绍 怎样 通过 检测 保证 配置 部 署 的 效率 。 


1. 语 法 检测 


在 编写 完 playbook 或 者 role 之 后 一 定 要 养 成 进行 语法 检测 的 习惯 ， 如 果 编 写 的 playbook 或 者 role 都 存在 语法 问题 ， 在 真正 实际 部 署 过程 中 面 对 很 多 机 器 的 时 候 我 们 会 发 现 调试 是 一 个 很 麻烦 的 问题 。 语 
法 检测 也 很 简单 ， 直 接 使 用 ansible-playbook 命 令 的 --syntax-check 参 数 即 可 。 


2. 灰 度 发 布 


如 果 语 法 检测 通过 之 后 ， 我 们 需要 对 相关 任务 进行 预 运行 ， 灰 度 发 布 是 什么 意思 呢 ? 就 是 先 挑选 一 台 机 器 进行 测试 ， 只 有 进行 测试 之 后 我 们 才 知道 整个 配置 流程 是 否 达 到 我 们 想 要 结果 。 进 行 预 运行 
时 ,我 们 只 需要 把 一 个 或 者 多 个 task 使 用 delegate_to 参 数 指定 到 一 台 设备 上 进行 测试 。 如 果 测 试 通 过 后 ， 再 进行 接 下 来 的 工作 。 


3. 是 否 达 到 预想 


如 果 检测 通过 ， 我 们 接 下 来 需要 做 的 就 是 针对 所 有 机 器 进行 部 署 。 特 别 是 配置 文件 变更 时 ， 我 们 又 没有 信心 保证 所 有 的 配置 是 否 正确 生成 ， 此 时 我 们 就 可 以 在 运行 playbook 的 时 候 使 用 --check 和 --diff 
参数 去 对 比 生成 后 的 文件 是 否 为 我 们 所 需 的 文件 。 


5.5 ”统一 管理 


在 运 维 工作 协作 的 时 代 ， 我 们 经 常 需要 和 别人 一 起 去 完成 配置 管理 工作 ， 如 果 Ansible 作 为 统一 配置 管理 工具 使 用 ， 会 有 很 多 人 参与 到 Ansible 的 playbook 和 role 的 编写 。 虽 然 前 面 已 经 介绍 了 如 何 去 规 
范 整 个 工作 目录 。 但 是 每 个 人 的 工作 方式 不 同 ， 所 以 笔者 建议 把 所 有 的 Ansible 工 作 目 录 使 用 gitlab 或 者 GitHub 私 有 仓库 的 形式 进行 管理 。 这 样 使 得 我 们 的 远程 工作 协作 变 得 很 方便 ， 每 个 人 都 可 以 进行 自己 
的 配置 管理 工作 且 互 不 影响 。 这 里 还 需要 做 的 就 是 规定 一 个 git 相 关 的 规范 ， 能 保证 每 个 git 仓 库 按照 规范 去 使 用 git 进 行 相关 的 操作 即 可 。 


5.6 ”使 用 ansible-shell 交 互 命令 行 


ansible-shell 是 GitHub 上 的 一 个 开源 项 目 ， 它 通过 交互 式 的 模式 把 所 有 Ansible 的 Ad-Hoc 命 令 都 引入 了 ， 它 的 底层 是 引用 Ansible 的 runnerAPI 实 现 的 。 整 个 项 目 其 实 就 是 一 个 Python 脚 本 。ansible- 
shell 目 前 能 使 用 所 有 的 Ad-Hoc 命 令 而 且 还 支持 Tab 键 补 齐 方式 。 所 以 引入 这 个 工具 从 很 大 程度 上 提高 了 我 们 使 用 Ad-Hoc 命 令 的 频率 。 目 前 ansible-shell 只 支持 Ad-Hoc 命 令 不 支持 playbook。 下 面 通过 示 
例 对 ansible-shell 进 行 介绍 。 首 先 来 安装 这 个 命令 ， 安 装 方式 如 下 : 


git clone https://github.com/dominis/ansible-shell.git 
cd ansible-shell/ 
python setup.py install 


安装 后 会 在 /usYbin/ 生 成 一 个 ansible-shell 命 令 ， 这 个 时 候 我 们 就 可 以 通过 运行 ansible-shell 命 令 进入 ansible-shell， 默 认 不 跟 任何 参数 ， 但 ansible-shellI 会 引入 ansible.cfg 里 面 的 参数 。 当 然 也 可 以 
在 运行 ansible-shell 命 令 时 指定 参数 ， 比 如 指定 inventory、ansible-shell-i hosts、sudo 模 式 ansible-shell-s， 还 可 以 指定 用 户 信息 ， 等 等 。 当 然 还 可 以 在 ansible.cfg 文 件 中 添加 对 ansible-shell 的 参数 定 
义 ， 如 下 所 示 : 


[ansible-shell] 
cwd- 172.17.0.9 
forks- 8 


下 面 我 们 就 来 体验 下 ansible-shell: 


[root8vm10-160-112-18 ~]# ansible-shell 
Welcome to the ansible-shell. 
Type help or ? to list commands. 
root8172.17.0.9 (1)[f:8]$ !hostname 
172.17.0.9 | success | rc=0 >> 
d5b7a49f14d4 
root8172.17.0.9 (1)[f:8]$ copy src-/root/site.yaml dest-/tmp/site.yaml 
172.17.0.9 | success >> ( 
"changed": true, 
"checksum": "fbfe59ac275ecc427248686b4a3a9ef17f161e5e", 
"dest": "/tmp/site.yaml", 


"gid": 0, 
"group": "root", 
": "a0d6c3d2b575a9f9deadaf55dcdc9605", 
"mode": "0644", 
"owner": "root", 


"size": 176, 

"src": "/root/.ansible/tmp/ansible-tmp-1436083261.47-131634914938882/source", 
"state": "file", 

"uid": 0 


其 他 的 模块 大 家 可 以 自己 去 体验 。 这 里 所 有 的 模块 名 都 支持 TAB。 默 认 ansible-shell 有 几 个 内 置 命令 ， 如 下 所 示 : 


“cd 切换 Inventory 对 象 (支持 正则 ) 

'list 显示 当前 目录 下 的 主机 和 主机 组 列表 。 
forks 临时 设置 并 发 数 。 

-become 设置 become 模 式 ， 例 如 su 或 sudo。 


“1! ”强制 调用 shell 模 块 。 


目前 模块 的 参数 不 支持 TAB， 但 是 可 以 输入 help 模 块 名 来 查看 模块 参数 帮助 信息 ， 具 体 信息 如 下 所 示 : 


root@172.17.0.9 (1)[f:8]$ help shell 
Execute commands in nodes. 
Parameters: 
warn if command warnings are on in ansible.cfg, do not warn about this particular line if set to no/false. 
creates a filename, when it already exists, this step will B(not) be run. 
executable change the shell used to execute the command. Should be an absolute path to the executable. 
chdir cd into this directory before running the command 
removes a filename, when it does not exist, this step will B(not) be run. 
free form The shell module takes a free form command to run, as a string. There's not an actual option named "free form". See the examples! 


57 本章 小 结 


本 章 主 要 介绍 如 何 把 Ansible 更 好 地 应 用 到 实际 工作 中 ， 包 括 一 些 日 常 优化 以 及 如 何 更 好 地 规范 和 使 用 Ansible， 等 等 。 在 实际 工作 中 ， 我 们 不 仅仅 把 Ansible 当 作 一 个 命令 使 用 ， 在 使 用 Ansible 维 护 和 部 署 
一 些 企业 架构 后 ， 规 模 会 变 得 越 来 越 大 且 业 务 也 会 越 来 越 复杂 ， 所 以 对 Ansible 的 日 常 维护 就 变 得 越 来 越 重要 了 ， 所 以 规范 化 整个 流程 也 变 得 至 关 重要 。 下 一 章 我 们 会 介绍 如 何 去 扩 展 一 些 Ansible 的 常用 组 
件 ， 因 为 每 个 软件 都 无 法 满足 所 有 用 户 的 需求 ， 为 了 使 Ansible 能 满足 更 加 复杂 的 应 用 场景 ， 必 须 对 它 进 行 扩展 。 目 前 Ansible 软 件 本 身 的 扩展 性 也 非常 强大 。 读 者 不 需要 去 阅读 大 量 的 底层 源码 就 可 以 很 简单 
地 对 Ansible 进 行 扩展 。 当 然 如 果 读者 有 能 力 ， 可 以 好 好 分 析 Ansible 的 源码 ， 会 有 意 想不到 的 惊喜 。 


第 6 章 ”扩展 Ansible 组 件 


通过 前 几 章 的 学 习 我 们 已 经 了 解 了 Ansible 的 大 部 分 功能 以 及 日 常 的 使 用 ， 本 章 我 们 将 继续 学 习 如 何 扩展 Ansible 使 它 能 满足 我 们 更 加 复杂 的 应 用 场景 。 本 章 将 围绕 Ansible 常 用 的 一 些 组 件 进行 扩展 以 及 自 
定义 ， 比 如 我 们 可 以 编写 自己 的 facts 采 集 方式 ， 还 可 以 编写 自己 的 Ansible 模 块 ， 等 等 。 本 章 将 讲解 扩展 facts 和 编写 日 常 模块 以 及 一 些 功能 插件 的 实现 。 当 然 Ansible 的 其 他 插件 也 都 支持 扩展 ， 比 如 action 插 
件 、connection 插 件 、vars 插 件 ， 但 是 限于 篇 幅 ， 本 书 对 以 上 三 种 插件 不 再 进行 介绍 。 


6.1 扩展 facts 


在 第 3 章 我 们 已 经 了 解 facts 相 关 的 知识 了 ， 也 讲解 了 通过 facter 和 ohai 去 扩展 facts 信 息 收 集 ， 等 等 。 这 节 我 们 将 继续 研究 扩展 facts 信 息 。 在 日 常 不 同业 务 的 配置 部 署 过 程 中 肯定 会 遇 到 不 同业 务 、 不 同 
机 器 ， 要 使 用 不 同 的 配置 信息 。 我 们 完全 可 以 使 用 facts 信 息 来 区 分 这 些 设备 。 当 然 facts 默 认 收 集 的 信息 大 多 数 参数 都 是 跟 机 器 属性 相关 的 ， 缺 少 业 务 角色 相关 的 属性 。 我 们 一 般 通 过 主机 名 或 者 静态 文件 描 
述 的 方式 来 表明 某 台 机 器 的 身份 。 甚 至 还 会 通过 联合 CMDB 系 统 来 确定 机 器 的 业务 角色 ， 等 等 。 现 在 我 们 将 介绍 两 种 采集 facts 信 息 的 方式 。 


1. 定 义 facts.d 信 息 


有 时 候 为 了 区 分 一 台 机 器 的 业务 角色 或 者 属性 ， 经 常会 在 设备 初始 化 之 后 生产 一 个 静态 的 文件 ， 这 个 文件 一 般 会 包含 这 台 设 备 的 业务 相关 信息 ， 相 当 于 这 台 设 备 的 业务 名 片 。Ansible 还 支持 读 取 被 控制 
机 器 文件 的 方式 来 当 作 facts 信 息 的 数据 来 源 。 如 果 大 家 看 过 Ansible 的 facts 信 息 收 集 setup 模 块 的 源 文 件 ， 就 会 非常 熟悉 整个 facts 收 集 过 程 。 其 实在 Ansible 的 setup 模 块 采集 过 程 中 会 检测 被 控制 键 的 
fact_path 目 录 下 所 有 以 fact 结 尾 的 文件 ， 然 后 读 取 文件 内 容 当 作 facts 信 息 收 集 。 下 面 来 看 module_utils/facts.py 文 件 的 Facts 类 下 的 get_ local facts 函 数 : 


def get local facts (self): 
fact path = module.params.get('fact path', None) 
if not fact path or not os.path.exists(fact path): 
return 
local = {} 
for fn in sorted(glob.glob(fact path + '/*.fact')): 
# where it will sit under local facts 
fact base = os.path.basename (fn) .replace('.fact','') 
if stat.S IXUSR & os.stat(fn)[stat.ST MODE]: 
# run it B 
# try to read it as json first 
# if that fails read it with ConfigParser 


# if that fails, skip it 
rc, out, err = module.run command(fn) 
else: zi 
out get file content(fn, default-'') 
# load raw json ` 
fact = 'loading $s' $ 
try: 
fact = json.loads (out) 
except ValueError, e: 
# load raw ini 
cp = ConfigParser.ConfigParser() 
try: 
cp.readfp(StringlO.StringIO (out)) 
except ConfigParser.Error, e: 
fact-"error loading fact - please check content" 
else: 
fact = (] 
#print cp.sections() 
for sect in cp.sections(): 
if sect not in fact: 
fact[sect] = {} 
for opt in cp.options (sect): 
val = cp.get(sect, opt) 
fact [sect] [opt]-val 


fact base 


local[fact base] - fact 
if not local: 

return 
self.facts['local'] = local 


fact_path 路 径 是 在 moudles/core/system/setup.py 模 块 文件 的 main 函 数 里 画 


后 ， 我 们 就 可 以 很 简单 地 在 fact_path 目 录 下 生成 想 要 的 文件 ， 然 后 当 作 facts 信 息 来 收集 了 。glob.glob (fact path «'/*fact') 所 有 的 静态 文件 必须 是 以 fact 结 


指定 的 ， 默 认 路 径 是 /etc/ansible/facts.d。 当 然 setup 模 块 还 支持 指定 fact_path 路 径 。 在 了 解 整个 facts 信 息 收集 流程 之 
尾 的 ， 目 前 文件 内 容 格式 只 支持 JSON 和 INI 格 


式 。 如 果 是 JSON 格 式 它 会 直接 使 


json.load 方 式 进行 解析 ， 如 果 是 INI 格 式 它 会 使 


ConfigParser 模 块 进行 解析 。 下 面 我 们 通过 一 个 示例 来 了 解 整个 流程 : 


[root@Master facts.d]# pwd 


/etc/ansible/facts.d 
[root@Master facts.d]# cat ansible.fact 
{ "name":"shencan" , "list":["three","one","two"], "Dict": ("A":"B") 


} 


在 这 里 为 了 大 家 能 了 解 各 种 数据 结构 ， 我 们 首先 定义 了 三 种 数据 类 型 ， 然 后 这 个 文件 使 


[root@Master facts.d]# ansible -i /root/hosts 
192.168.1.116 | success >> { 
"ansible facts": { 
"ansible local": ( 
"ansible": 
"Dict" 


192.168.1.116 -m setup 


"list"; [ 
"three", 
"one", 
"two" 

l; 

"name": "shencan" 
} 

] 


"changed": false 


JSON 格 式 的， 最 后 测试 这 个 facts 信 息 是 否 能 被 正确 解析 : 


-a "filter-ansible local" 


2. 编 写 facts 模 块 


上 面 介 绍 的 方式 灵活 性 不 是 很 强 ， 


因为 需要 每 台 机 器 上 都 存在 一 个 那样 的 文件 。 


这 节 我 们 通过 编写 模块 的 方式 去 收集 facts 信 息 ， 就 是 相当 于 


己 写 一 个 功能 跟 setup 模 块 类 似 的 模块 。 如 果 只 是 编写 


facts 信 息 采 集 模 块 ， 编 写 流程 很 简单 ， 只 需要 按照 编写 modules 的 要 求 编写 即 可 ， 唯 一 要 求 是 在 最 后 需要 把 所 有 的 facts 信 息 (JSON 格 式 ) 存储 到 


理 : 


ansible factskey 下 。 通 过 如 下 示例 来 了 解 模块 编写 原 


[rootüMaster ~]# cat library/info.py 
f! /usr/bin/python 
DOCUMENTATION = """ 


module: info 
short description: This modules is extend facts modules 
description: 
- This modules is extend facts modules 
version added: "1.1" 
options: 
enable: 
description: 
- enable extend facts 
required: true 
default: null 
EXAMPLES = ''' 
- info: enable-yes 
(rn 
import json 
import shlex 
import sys 
args file = sys.argv[l] 
args data-file (args file).read() 
arguments-shlex.split (args data) 
for arg in arguments: 
if "-" in arg: 


(key,value) = arg.split ("=") 
if key == "enable" and value == "yes": 
data={} 
data['key'] = 'value' 
data['list'] = ['one','two','three'] 
data['dict'] = ('A':"a") 
print json.dumps (("ansible facts": data),indent-4) 
else: 
print "info modules usage error" 
else: 
print "info modules need one parameter" 


这 是 一 个 非常 简单 的 Python 脚本 ， 也 是 一 个 非常 简单 的 Ansible 模 块 。 前 


[rootüMaster ~]# ansible all -M library/ -m info -a 
172.17.42.104 | success >> ("ansible facts": i 
172.17.42.103 | success »» ("ansible facts": 
172.17.42.102 | success >> ("ansible facts": 
172.17.42.101 | success »» ("ansible facts": 


环境 变量 下 ， 然 后 通过 playbook 的 template 去 引 


因为 这 个 模块 不 在 Ansible 默 认 的 模块 路 径 下 ， 所 以 执行 Ad-hoc 命 令 时 需要 指定 模块 路 径 。 如 果 模 块 在 当前 
这 些 facts 信 息 。 首 先 介绍 Jinja2 模 板 文件 和 playbook 文 件 : 


DOCUMENTATION 和 EXAMPLES 是 为 了 ansible-doc 能 查看 这 个 模块 的 简介 和 例子 。 我 们 来 测试 一 下 这 个 模块 : 


"value", ["one", "two", "three"]]] 
["one", "two", "three"]}} 

["one", "two", "three"]}} 

: "value", "list": ["one", "two", "three"]}} 


录 的 library/ 下 就 无 需 指 定 模块 路 径 。 当 然 可 以 把 模块 路 径 追 加 到 ANSIBLE_LIBRARY 这 个 


key is {{ key }} 
list is ($ for i in list $) (( i )) ($ endfor $) 
dict['A'] is {{ dict['A'] }} 


playbook 文 件 如 下 : 


- hosts: all 

tasks: 

- name: test info facts module 

info: enable-yes 

- name: debug info facts 

template: src-info.j2 dest-/tmp/cpis 


最 后 我 们 来 运行 这 个 playbook: 


[root@Master ~]# ansible-playbook -i hosts info.yaml -l 192.168.1.116 


PLAY [all] 类 汪 六 大 炎炎 类 炎炎 六 次 交 次 六 次 交 次 太 次 交 次 六 次 交 次 太 次 交 次 太 次 次 次 六 次 交 次 太 次 大 痰 六 次 交 淡 太 次 关 淡 六 交 大火 六 交大 次 
GATHERING FACTS * 炎 火炎 类 太太 闪光 大火 大 大 炎炎 闪光 六 闪闪 次 闪 六 闪闪 炎炎 类 交 闪闪 交大 类 闪闪 磋 交 闪 炎 交大 类 次 认 类 闪 次 磋 次 闪 类 


ok: [192.168.1.116] 
TASK: [test info facts module] **exxxsdeeeieenoeieneioiaelinoiiooiioioeiek 
ok: [192.168.1.116] 


TASK: [debug info facts] "Ue ak A Ae k ak Ae dk e K lio E K A A 


ok: [192.168.1.116] 


PLAY RECAP 444900 ck kk e A E Ae E RACK ROCK K K RR OK 


192.168.1.116 : ok=3 changed-0 unreachable-0 failed-0 


查看 泻 染 后 的 文件 : 


[root@Master ~]# ansible -i hosts 192.168.1.116 -a 'cat /tmp/cpis' 
192.168.1.116 | success | rc=0 >> 

key is value 

list is one two three 

dict['A'] is a 


6.2 扩展 模块 


在 上 一 节 编写 facts 模 块 的 时 候 ， 我 们 已 经 编写 了 一 个 Ansible 模 块 。 这 节 我 们 将 继续 深入 讲解 如 何 编写 模块 。 关 于 编写 模块 所 使 用 的 语言 ， 目 前 官方 支持 用 任何 语言 编写 模块 。 当 然 本 节 也 会 介绍 运 维 
经 常 使 用 的 两 种 用 来 编写 模块 的 语言 。 


1. 使 用 shell 编 写 模块 


如 果 我 们 使 用 shell 去 编写 Ansible 的 模块 ， 这 个 流程 是 非常 简单 的 。 我 们 平常 使 用 模块 的 时 候 一 般 是 指定 模块 名 ， 然 后 通过 传 入 key/value 键 值 对 的 参数 ， 最 后 在 模块 执行 完成 后 会 有 模块 执行 状态 以 及 
相关 结果 返回 。 下 面 我 们 通过 一 个 示例 来 了 解 整个 数据 流程 : 


[rootüMaster ~]# cat library/docker sh 
1! /bin/bash T 
set -e 

source $1 $2 $3 

IMAGE-$image 


NAME-$name 

TAG-$tag 

if [ ! -z "SIMAGE" ] && [ ! -z "$NAME" ] && [ ! -z "STAG" ]; then 
id-$(/usr/bin/docker run --name $NAME -d $(IMAGE]:$(TAG]) 
if [ ! -z "$id" ]; then 


CHANGED-"True" 
echo {\"containerid\":\"$id\"} 
exit 0 
fi 
else 
echo ( V'msgV':V'"run docker container errorV") 
exit 0 
fi 


这 里 使 用 shell 完 成 了 一 个 docker_sh 模 块 ， 这 个 模块 会 根据 传 入 的 image tag name 去 运行 Docker 容 器 。 最 后 把 容器 id 打印 出 来 。 测 试 如 下 : 


[root@Master ~]# ansible -i hosts 192.168.1.116 -M library/ -m docker_sh -a 'image-shencan/fuck name-ansible tag-v5' -c local 


192.168.1.116 | success >> ( 


"containerid": "1d2ea83c8c6c8e9337afelccc9dclb422blel3dbabea8f16962e659ce51b84b6" 


} 


然后 查看 运行 的 docker 容 器 : 


[rootGMaster ~]# docker ps -algrep '1d2ea83c8c6' -B 1 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 


1d2ea83c8c6c shencan/fuck:v5 "/usr/bin/supervisor 3 minutes ago Up 3 minutes 22/tcp ansible 


内 部 的 模块 。 这 里 选择 了 笔者 在 yottaa 工 作 时 ， 编 写 的 一 个 openstack 分 配 floating 的 示例 。 当 时 我 们 使 


和 


使 用 shell 编 写 模 块 需要 注意 最 后 脚本 的 输出 ， 因 为 Ansible 最 后 会 使 用 son.load 把 结果 格式 化 ， 所 以 一 定 需要 echo 的 结果 能 被 Ansible 解 析 。 关 于 编写 模块 在 playbook 中 的 应 用 ， 可 以 参照 编写 facts 模 
块 一 节 的 内 容 。 我 们 可 以 看 到 引用 模块 方式 与 日 常 所 写 的 playbook 没 有 任何 区 别 ， 仪 需要 注意 编写 的 模块 路 径 。 


2. 使 用 Python 编写 模块 


虽然 使 用 shell 可 以 完成 某 些 module 编 写 ， 但 有 些 Python 数 据 结构 在 shell 中 表现 形式 不 一 样 。 本 节 我 们 使 用 Python 语言 去 编写 模块 。 这 样 我 们 就 可 以 和 Ansible 紧 密 结合 了 ， 甚 至 可 以 直接 导入 Ansible 


Ansible 去 管理 AWS 和 OpenStack， 发 现 官 网 对 一 些 功能 模块 不 支持 ， 所 以 我 们 就 使 用 OpenStack 


AWS 的 一 些 APl 进 行 封装 ， 做 成 Ansible 的 模块 。 事 实 上 使 用 Python 编 写 模 块 也 是 最 简单 的 ， 现 在 我 们 一 起 了 解 此 示例 : 


[root@Master ~]# cat library/floating 
#!/usr/bin/env python 

$ -+- coding: utf-8 =*= 
DOCUMENTATION = """ 


module: floating 
short description: This modules pull floating ipaddress from openstack 
description: 
- This modules pull floating ipaddress from openstack 
version added: "1.1" 
options: 
usernmae: 


description: 
- openstack auth username 
required: true 
default: admin 
password: 
description: 
- openstack auth password 
required: true 
default: password 
tenant: 
description: 
- openstack tenant information 
required: true 
default: admin 
authurl: 
description: 
- openstack authurl 
required: true 
default: http://10.8.6.2:35357/v2.0/ 
author: Can Shen 
requirements: [ "python-novaclient »- 2.20.0" ] 
EXAMPLES = ''"' 
- name: pull floating ip address 
local action: floating 
username-(( login username }} password-(( login password }} 
tenant={{ login tenant name }} authurl-(( auth url ]) 
register: floating ip T Bi ni 
"n 
import sys 
import json 
import os, commands 
from ansible.module_utils.basic import * 
from novaclient.vl 1 import client 
def main(): T 
module = AnsibleModule ( 
argument spec = dict ( 
username = dict (default-'admin',type-'str'), 
password = dict (default-'password',type-'str'), 
tenant dict (default-'admin.',type-'str'), 
authurl = dict (default-'http://10.8.6.2:35357/v2.0/' , type-'str') 
) 
supports check mode-True 
) 
USER, PASS, TENANT, AUTH URL- (module . params ['username'],module.params[|['password'],module.params['tenant'],module.params['authurl']) 
openstack = client.Client(USER, PASS, TENANT, AUTH URL, service type-"compute") 
ips-[] 
for i in openstack.floating ips.list(): 
if i.fixed ip is None: 
ips.append(i.ip) 
floating ip-str(ips[0]) 
if not floating ip : 
print json.dumps (| 
"failed" : True, 
"msg" : "not have floating ip " 
1) 
sys.exit(1) 
print json.dumps ({ 
"res" : floating ip, 
"changed" : True 
1) 
sys.exit(0) 
main () 


关于 这 个 脚本 我 人 


点 介绍 加 粗 的 部 分 。 


这 几 段 的 意思 是 引用 ansible.module_utils.basic 的 AnsibleModule 对 模块 传 入 参数 的 key 和 value 进 行 默 认 值 定义 ， 并 定义 这 个 模块 支持 哪些 参数 和 每 个 参数 的 数据 类 型 是 什么 ， 等 等 。 
supports check_mode=True 是 开启 模块 的 check 支 持 。 关 于 模块 引用 模块 传 入 的 值 ，module.params[rusername'] 所 有 参数 传 入 的 key/value 都 在 module.params 下 ， 所 以 可 以 很 简单 地 取出 某 个 参数 传 
入 的 值 。 下 面 是 如 何 去 使 用 这 个 模块 的 例子 : 


[root@Master library]f cat openstack.yaml 
- name: new openstatck instances 
hosts: 127.0.0.1 
gather facts: False 
vars: -— 
auth url: http://10.8.6.2:35357/v2.0/ 
login username: admin 
login tenant name: admin 
login password: password 
image id: c1c28aa4-a892-40a0-b7aa-f692fd2785b1 
keypair name: Yottaa-Stage-v1307 
private net: 696bfa85-5e8e-4dea-b41c-e066bfa925ac 
connection: local 
tasks: 
- nova compute: 
^ auth url: "(( auth url }}" 
login username: "(( login username }}" 
login password: "(( login password }}" 
login tenant name: "(( login tenant name }}" 
security groups: default 
state: present 
name: "(( ro }}-{{ 1000000 |random(1, 1) )).yottaa.com" 
image id: "(( image id }}" 
key name: "{{ keypair name }}" 
flavor id: "(( flavor id ])" 
nics: 
- net-id: "(( private net }}" 
register: openstack 加 
- name: pull floating ip address 
local action: floating 
username-(( login username }} password-(( login password }} 
tenant-(( login tenant name ]) authurl-(( auth url }} 
register: floating ip 
- name: bond floating ip to instance 
local action: bondip openstack 
username-(( login username ]] password-(( login password ]] 
tenant-(( login tenant name }} authurl-(( auth url ]] 
instance id-(( openstack.id ]) floating ip-(( floating ip.res ]) 


这 个 playbook 的 bondip_openstack 和 floating 都 是 使 用 Python 编写 的 模块 ， 这 里 与 我 们 直接 使 用 Ansible 自 带 模块 没有 任何 区 别 。 


6.3 callback 插 件 


1. 了 解 callback 插 件 流程 


回 


callback 是 Ansible 的 一 个 回调 功能 ， 我 们 可 以 在 运行 Ansible 的 时 候 调 用 这 个 功能 。 比 如 希望 在 执行 playbook 失 败 后 发 邮件 ， 或 者 希望 将 每 次 执行 playbook 的 结果 存 到 日 志 或 者 数据 库 中 。 在 callback 
插件 里 面 ， 我 们 可 以 很 方便 地 拿 到 Ansible 执 行 状态 信息 ， 然 后 可 以 定义 一 个 callback 动 作 ， 在 playbook 的 某 个 运行 状态 下 进行 调用 。 下 面 我 们 通过 官网 的 一 个 关于 记录 ad-hoc 和 playbook 执 行 记 录 写 入 


Ej 


志文 件 的 callback 进 行 讲解 ， 让 大 家 熟悉 整个 callback 的 调用 流程 ， 达 到 最 终 编写 适合 自己 需求 的 callback。 当 然 Ansible 本 身 也 有 日 志 记录 功能 ， 在 ansible.cfg 中 开启 log_path 即 可 ， 但 是 callback 可 以 记 
录 到 更 加 详细 的 信息 ， 示 例如 下 ， 脚 本 名 称 为 log_plays.py: 


import os 
import time 
import json 
# NOTE: in Ansible 1.2 or later general logging is available without 
# this plugin, just set ANSIBLE LOG PATH as an environment variable 
* or log path in the DEFAULTS section of your ansible configuration 
# file. This callback is an example of per hosts logging for those 
# that want it. 
$b $d SY SH:%M:%S" 
E (now)s - $(category)s - %(data)s\n\n" 
if not os.path.exists ("/var/log/ansible/hosts"): 
os.makedirs ("/var/log/ansible/hosts") 
def log(host, category, data): 
if type(data) 一 dict: 
if 'verbose override' in data: 
# avoid logging extraneous data from facts 
data = 'omitted' 
else: 
data = data.copy() 
invocation = data.pop('invocation', None) 
data = json.dumps (data) 
if invocation is not None: 
data = json.dumps (invocation) + " => $s " $ data 
path = os.path.join("/var/log/ansible/hosts", host) 
now — time.strftime(TIME FORMAT, time.localtime()) 
fd = open(path, "a") 
fd.write(MSG FORMAT $ dict(now-now, category-category, data-data)) 
fd.close() ^ 
class CallbackModule (object) : 


logs playbook results, per host, in /var/log/ansible/hosts 
def on any(self, *args, **kwargs): 
pass 
def runner on failed(self, host, res, ignore errors-False): 
log(host, 'FAILED', res) 
def runner on ok(self, host, res): 
log(host, 'OK', res) 
def runner on skipped(self, host, item-None): 
log(host, 'SKIPPED', 'http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/...') 
def runner on unreachable (self, host, res): 
log(host, 'UNREACHABLE', res) 
def runner on no hosts (self): 


pass 

def runner on async poll(self, host, res, jid, clock) 
pass 

def runner on async ok(self, host, res, jid) 
pass 


def runner on async failed(self, host, res, jid): 
log(host, 'ASYNC FAILED', res) 
def playbook on start (self): 


pass 
def playbook on notify(self, host, handler): 
pass 
def playbook on no hosts matched (self): 
pass 
def playbook on no hosts remaining (self): 
pass 
def playbook on task start(self, name, is conditional): 
pass 
def playbook on vars prompt(self, varname, private-True, prompt-None, encrypt-None, confirm-False, salt size-None, salt-None, default-None): 
pass 
def playbook on setup (self): 
pass 


def playbook on import for host(self, host, imported file): 
log(host, 'IMPORTED', imported file) 

def playbook on not import for host(self, host, missing file): 
log(host, 'NOTIMPORTED', missing file) 

def playbook on play start(self, name): 
pass 

def playbook on stats(self, stats): 
pass 


我 们 先 不 去 分 析 这 个 脚本 ， 而 是 在 调用 这 个 callback 之 后 再 来 分 析 它 。 如 果 想 开启 callback 插 件 ， 需 要 把 callback 脚 本 放 到 callback_plugins 指 定 的 目录 下 。 在 ansible.cfg 目 录 下 可 以 指定 
callback_plugins 的 路 径 。 下 面 我 们 就 把 官网 的 这 个 callback 脚 本 放 到 callback_plugins 下 ， 然 后 执行 Ansible playbook 操 作 : 


[rootüMaster ~]# 11 /usr/share/ansible plugins/callback plugins/log plays.py 

-rwxr-xr-x 1 root root 2772 6 月 14 16:27 /usr/share/ansible plugins/callback plugins/log plays.py 
[root@Master ~]# ansible all -m shell -a 'uname -r' -o 

172.17.42.102 | success | rc-0 | (stdout) 3.10.5-3.e16.x86 64 

172.17.42.101 | success | rc-0 | (stdout) 3.10.5-3.e16.x86 64 

172.17.42.104 | success | rc-0 | (stdout) 3.10.5-3.e16.x86 64 

172.17.42.103 | success | rc-0 | (stdout) 3.10.5-3.e16.x86 64 

[rootGMaster ~]# ansible-playbook  info.yaml 


PLAY [all] Jc) XO DIO A E A AE E E E E E E E K E K A E A A A AEE E E KEK K K A A 
GATHERING FACTS 4okXX ook doo Kok ROOKIE ROO 
ok: [172.17.42.103 
ok: [172.17.42.102 
ok: [172.17.42.104 
ok: [172.17.42.101 
TASK: [test info facts module] *eexxdoecoooooooiooooeoeeoee 
ok: [172.17.42.102 
ok: [172.17.42.104 
ok: [172.17.42.103 
ok: [172.17.42.101 
TASK: [debug info facts] ** 六 炎炎 太 炎炎 火炎 交火 太 次 交火 大 次 次 次 大 次 次 次 大 次 次 次 大 次 次 次 太 次 交 次 大 交 交 次 大 
ok: [172.17.42.101 
ok: [172.17.42.102 
ok: [172.17.42.103 
ok: [172.17.42.104 


PLAY RECAP 44400 kd kk KK A A E A A AE A A A E A E A e Ae A AE E E E E e e AE A A A A E E OK A A K A 


172.17.42.101 : ok=3 changed-0 unreachable-0 failed-0 
172.17.42.102 : Ok=3 changed-0 unreachable-0 failed-0 
172.17.42.103 : Ok=3 changed-0 unreachable-0 failed-0 
172.17.42.104 : ok=3 changed-0 unreachable-0 failed-0 


因为 callback 脚 本 里 面 定义 的 日 志 在 /var/log/ansible 目 录 下 ， 我 们 去 这 个 目录 下 查看 : 


root@Master ~]# cd /var/log/ansible 
root@Master ansible]# ls 
hosts 
root@Master ansible]# tree 
m hosts 
| 


172.17.42.101 
172.17.42.102 
———— 172.17.42.103 
172.17.42.104 
1 directory, 4 files 


机 的 日 志 ， 写 入 以 Invenotory 名 字 的 文件 内 。 下 面 我 们 查看 一 台 机 器 的 日 志 : 


[root@Master ansible]# cat hosts/172.17.42.101 


Jun 14 2015 16:27:34 - OK - omitted 
Jun 14 2015 16:27:34 - OK - ("module name": "info", "module args": "enable-yes"] => ["ansible facts": ["dict": {"A": "a", "list": ["one", "two", "three"], "key": "value"]] 
Jun 14 2015 16:27:35 - OK - ("module name": "template", "module args": "src-info.j2 dest-/tmp/cpis") => ("group": "root", "uid": 0, "changed": false, "owner": "root", "stat 


第 1 条 日 志 是 执行 模块 的 ， 第 2 条 和 第 3 条 是 执行 上 面 的 info.yam| 的 日 志 ， 里 面 会 记录 playbook 中 引用 的 每 个 task 的 执行 结果 信息 。 这 个 时 候 我 们 再 来 看 上 面 的 callback 脚 本 。 脚 本 中 定义 了 一 个 log 函 
这 个 函数 接受 参数 传 入 ， 然 后 对 传 入 的 data 信 息 进 行 解析 判定 后 ， 将 其 写 入 path=os.path.join ("/var/log/ansible/hosts", host) 文件 : 


def runner on failed(self, host, res, ignore errors-False): 
log(host, 'FAILED', res) d 
def runner on ok(self, host, res): 
log(host, 'OK', res) 
def runner on skipped(self, host, item-None): 
log(host, 'SKIPPED', 'http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/...') 
def runner on unreachable (self, host, res): 
log(host, 'UNREACHABLE', res) 


这 里 定义 了 一 些 runner 的 执行 状态 ， 只 有 runner 状 态 匹 配 到 了 才 会 去 引用 前 面 定义 的 log 函 数 继续 日 志 记录 。 下 面 是 匹配 playbook 的 执行 状态 ， 如 果 不 了 解 每 个 函数 的 变量 信息 ， 可 以 直接 print 出 来 : 


def playbook on import for host(self, host, imported file): 
log(host, 'IMPORTED', imported file) 

def playbook on not import for host(self, host, missing file): 
log(host, 'NOTIMPORTED', missing file) 


2. 编 写 callback 插 件 


了 解 了 callback 揪 件 的 流程 之 后 ， 我 们 就 可 以 根据 自己 的 需求 去 编写 callback 揪 件 了 。 下 面 我 们 编写 一 个 callback 揪 件 ， 把 一 些 playbook 执 行 状态 信息 写 入 MySQL 里 面 。 首 先 我 们 来 看 一 下 callback 代 


[root@Master callback plugins]# cat status.py 
import MySQLdb 
import os 
import time 
import datetime 
TIME FORMAT-'$Y-5$m-$d $H:$M:$5"' 
now = datetime.datetime.now() 
def insert (host,res): 
conn-MySQLdb.connect (host-'192.168.1.117',user-'root',passwd-'123456',db-'ansible',port-3306) 
cur-conn.cursor () 
sqgl-'insert into status (hosts,result,date) values ("$s","$s","$s")' $(host,res,now.strftime (TIME FORMAT)) 
cur.execute (sql) 
conn.commit () 
conn.close() 
class CallbackModule (object) : 
def on any(self, *args, **kwargs): 
pass 
def runner on failed(self, host, res, ignore errors-False): 
insert (host, res) a 
def runner on ok(self, host, res): 
insert (host, res) 
def runner on unreachable (self, host, res): 
insert (host, res) 
def playbook on import for host(self, host, imported file): 
ass 
def Playbook on not import for host (self, host, missing file): 
ass 
def Playbook on stats (self, stats): 
hosts = stats.processed.keys() 
for i in hosts: 
info = stats.summarize (i) 
if info['failures'] » 0 or info['unreachable'] » 0: 
has errors - True 
msg -"Hosinfo: $s, ok: $d, failures: $d, unreachable: $d, changed: $d, skipped: $d" $ (i, info['ok'], info['failures'], info['unreachable'], info['changed'], ir 
print msg 


这 是 一 个 比较 简单 的 callback 插 件 ， 实 现 将 playbook 结 果 插 入 MySQL。 我 们 来 运行 playbook， 然 后 查看 下 MySQl 数 据 : 


TH 


[rootéMaster callback Plugins]# ansible-playbook -i /root/inventory/docker /root/info.yaml -1 172.17.42.101:172.17.42.102 


PLAY [all] *XJ4XXXX3000000€ 0 C K K A E K K A E K K E E K K A E E K A E E K E e E A E E A E A 
GATHERING FACTS A A h k H ER dE A k E AE RE A K e ER E e k e AE RE A k e ER e K E A R A K E AK AK 


ok: [172.17.42.102] 

ok: [172.17.42.101] 

TASK: [test info facts module] eXoeeeeooooooooooo looo 

ok: [172.17.42.101] 

ok: [172.17.42.102] 

TASK: [debug info facts] XJ oko kk KK IA E A A A E AE E E EK K K 

ok: [172.17.42.101] 

ok: [172.17.42.102] 

PLAY RECAP €6€exi)ebckeeceeeeececeeeeeeecececeeeeeeeeeeeeeeeeeeeeeeer 

Hosinfo: 172.17.42.102, ok: 3, failures: 0, unreachable: 0, changed: 0, skipped: 0 
Hosinfo: 172.17.42.101, ok: 3, failures: 0, unreachable: 0, changed: 0, skipped: 0 
172.17.42.101 : ok=3 changed=0 unreachable-0 failed-0 
172.17.42.102 : ok=3 changed-0 unreachable-0 failed-0 


我 们 来 查看 下 MySQL 的 数据 。 因 为 这 里 result 直 接 把 res 的 数据 全 部 插入 对 应 数据 库 的 表 中 ， 当 然 也 可 以 根据 自己 的 需求 只 插入 所 需要 的 属性 。 这 个 表 里 面 的 3 行 数据 分 别 代表 setup 模 块 的 返回 信息 ， 以 


及 info.yaml 中 两 个 task 中 的 模块 返回 的 数据 ， 如 图 6-1 所 示 。 


hosts a result date 
172.17 42.101 ('invocation': ('module name" 'setup', 'module args": '), ‘verbose override: True, 'changed': False, ' 2015-06-14 20:56:23 
172.17.42.101 I f A res"), ' X 323 2015-06-14 20:56:22 


172.17 42.101 (l'group'* 'root', uid': O, "changed": False, 'invocation': 'module name u'template, 'module args: u' 2015-06-14 20:56:23 
172.17 42.102 l'invocation': ('module name" 'setup', 'module args… "), verbose override: True, 'changed': False, ' 2015-06-14 20:56:23 
172.17.42.102 (l'invocation': {'module_name": u'info', 'module_args': u'enable=ycs'}, 'ansible facts: ( dict: {A'; 'a], 12015-06-14 20:56:23 
172.17 42.102 ('group* 'root', 'uid': 0, 'changed* False, invocation": ('module name: u'template', 'module args: u' 2015-06-14 20:56:23 


W 


6-1 ”将 数据 插入 MySQL 


6.4 ”lookup 插 件 


在 第 4 章 我 们 介绍 了 一 些 常用 的 lookup 播 件 ， 并 且 通 过 一 些 简单 的 例子 熟悉 了 lookup 的 基本 运行 流程 。 本 节 我 们 将 继续 介绍 lookup 的 相关 知识 ， 并 且 通 过 一 个 案例 来 分 享 如 何 去 定 义 


自己 的 lookup 插 


件 。Ansible 默 认 的 所 有 lookup 插 件 文件 在 当前 Python 版 本 的 ansible/runnervlookup_plugins/ 目 录 下 ， 有 Python 语言 基础 的 读者 建议 好 好 阅读 该 目录 下 的 lookup 文 件 。 在 本 节 里 我 们 通过 一 个 从 MySQL 
数据 库 中 读 取 变量 值 的 lookup 插 件 示例 来 熟悉 整个 lookup 插 件 流程 后 ， 大 家 根据 实际 工作 环境 的 需求 ， 可 以 很 轻松 地 编写 适合 自己 的 lookup 插 件 。 下 面 我 们 就 开始 编写 自己 的 lookup 插 件 。 首 先 搭建 一 个 


MySQI 数据库 ， 存 放 所 有 的 变量 信息 ，MySQL 的 数据 库 名 是 Ansible， 表 名 是 lookup， 然 后 在 表 里 面 插入 了 几 条 数据 ， 最 终 我 们 要 使 用 这 些 变量 的 值 从 这 台 MySQl 数 据 库 中 读 取 数据 ， 数 据 库 表 内 容 如 


6-2 所 示 。 


l ansible 


2 one 
3 tow 


图 6-2 MySQL 数据 库 中 的 表 


我 们 在 ansible.cfg 配 置 文件 中 lookup_plugins 指 定 的 目录 下 新 建 一 个 mysql.py 的 lookup 查 询 脚 本 ， 内 容 如 下 : 


四 | 


#!/usr/bin/python 
Description: This lookup query value from mysql 
Example Usage: 
{{ lookup ('mysql', ('192.168.1.117', 'Ansible','lookup','ansible')) }} 
from ansible import utils, errors 
HAVE MYSQL-False 
try: 
import MySQLdb 
HAVE REDIS-True 
except ImportError: 
pass 
class LookupModule (object) : 
def init (self, basedir-None, **kwargs): 
Self.basedir = basedir 
if HAVE REDIS 一 False: 
raise errors.AnsibleError("Can't LOOKUP (mysql): module MySQLdb is not installed") 
def run(self, terms, inject-None, **kwargs): 
terms = utils.listify lookup plugin terms(terms, self.basedir, inject) 
ret = [] 
host, db, table, key- (terms [0] , terms [1], terms [2] , terms [3] ) 
conn-MySQLdb.connect (host-host, user-'root',passwd-'123456',db- 
db, port-3306) 
cur-conn.cursor () 
Sql-'select value from $s where keyname = "$s"' $ (table, key) 
cur.execute (sql) 
result-cur.fetchone () 
if result[0]: 
ret.append(result[0]) 
return ret 
else: 
return None 


这 个 lookup 脚 本 的 功能 比较 容易 理解 ， 它 是 通过 连接 到 lookup 参 数 的 MySQL 服 务 器 查询 相应 key 的 值 。 这 里 需要 注意 的 是 Ansible 控 制 机 需要 安装 MySQLdb Python 库 。 下 面 我们 通过 一 个 playbook 


来 引用 我 们 定义 的 MySQL lookup 插 件 : 


rootGMaster ~]# cat lookup.yaml 


- hosts: all 
vars: 
value: "{{ lookup ('mysql', ('192.168.1.117', 'Ansible','lookup', 
'one!)) jJ)" 
tasks: 
- name: test lookup 
template: src-lookup.j2 dest-/tmp/lookup 


可 以 看 到 传 入 了 MySQL 的 主机 ip、 数 据 库 、 表 名 和 需要 查询 的 key。 比 如 这 里 是 去 查询 192.168.1.117 上 Ansible 数 据 库 中 lookup 表 里 面 key 为 one 的 值 。 我 们 在 lookup:j2 模 板 里 面 引 


value 的 值 即 可 : 


{{ value }} 


最 后 我 们 运行 这 个 playbook， 查 看 泻 染 后 的 文件 : 


[root@Master ~]# ansible-playbook /root/lookup.yaml -1 192.168.1.116 


PLAY [all] A A K A A a A AE K A E K A E K E E K E E K A E K A E E K AE E K K E E E K E E K A E K E A 
GATHERING FACTS 44440 A A A A k KK E A Ae A A A A AE k AA A K KKA K AAA AAK K A 


ok: [192.168.1.116] 


TASK: [test lookup] *XxXxkexidonepooceiookioonkeoanednaokeogkooooeoneonoeoek 
changed: [192.168.1.116] 

PLAY RECAP deeeieckeeeeceoeeceeeeeeceeeeeceeeeeeeeeeceeeeeeeeeeeeeeeoer 
192.168.1.116 : oke2 changed-1 unreachable-0 failed-0 
[rootüMaster ~]# ansible 192.168.1.116 -a 'cat /tmp/lookup' 
192.168.1.116 | success | rc=0 >> 

ONE 


6.5 Jinja2 filter 


在 第 4 章 讲解 playbook 的 时 候 我 们 也 介绍 了 Jinja2 的 一 些 基 本 使 用 方法 ， 我 们 都 知道 jinja2 的 模板 定义 功能 很 强大 ， 如 果 想 深入 学 习 Ansible， 建 议 去 深入 研究 Jinja2 这 个 模板 语言 。 我 们 平常 编写 Jinja2 
模板 的 时 候 经 常会 使 用 Jina2 的 语法 以 及 它 强 大 的 filter。 虽 然 Jinja2 自 带 很 多 filter， 但 是 在 真正 的 应 用 场景 中 经 常会 遇 到 自 带 filter 解 决 不 了 的 问题 ， 所 以 这 节 我 们 将 讲解 如 何 去 定 义 自己 的 Jinja2 filter, 


1. 了 解 Jinja2 filter 的 执行 过 程 


Ansible 所 有 的 Jinja2 filter 由 Ansible 的 filter_plugins 播 件 和 Jinja2 自 带 的 filter 组 成 。Jina2 所 有 自 带 的 filter 在 Jina2 当 前 Python 版 本 的 site-packagesyjinja2yfilter.py 文 件 内 。 建 议 熟 悉 Python 语 言 的 读 
者 好 好 研究 这 个 文件 。Ansible 的 filter_plugins 揪 件 中 的 filter， 在 当前 Python 版 本 的 site-packages/ansible/runner/filter_plugins 目 录 下 。 下 面 我 们 通过 Ansible 的 filter_plugins 揪 件 中 的 fileglob filterit 


解 filter， 首 先 我 们 来 看 Python 版 本 的 site-packages/ansible/runnerfilter_plugins 目 录 下 core.py 中 的 fileglob 函 数 : 


def fileglob (pathname) : 
''' return list of matched files for glob ''' 
return glob.glob (pathname) 


这 个 函数 的 作用 就 是 使 用 glob 模 块 (脚本 开头 已 经 引入 了 该 模块 ) 匹配 一 个 指定 目录 下 的 文件 ， 最 后 返回 所 有 匹配 的 文件 ， 并 在 FilterModule 类 的 filters 函 数 下 进行 引 


class FilterModule (object): 
''' Ansible core jinja2 filters ''' 
def filters (self): 
return ( 
# file glob 
'fileglob': fileglob, 


前 面 的 'fileglob' 是 filter 的 名 称 ， 后 面 的 fileglob 是 前 面 定义 的 fileglob 函 数 。 下 面 我 们 通过 一 个 示例 来 引用 fileglob 这 个 filter。 这 里 是 定义 的 Jinja2 模 板 : 


($ set path = '/root/*.py' %} 
{{ path | fileglob }} 


然后 写 一 个 playbook 去 引用 这 个 Jinja2 模 板 : 


- hosts: all 
tasks: 
- name: test jinja2 filter 
template: src-filter.j2 dest-/tmp/filter 


最 后 我 们 来 运行 ， 查 看 泻 染 后 的 文件 结果 : 


[root@Master ~]# ansible-playbook filter.yaml -1 172.17.42.103 


PLAY [all] $ A K A A ak A Ae k k A AE e k A E K K A AE K K A e K K A E E K A E K K A e E K A E E K A E E A E E A A A 
GATHERING FACTS A K H A d Ae R d A KR E A k E AE R e e K e E K E A k E R e K A K E A A KKK AK K 


ok: [172.17.42.103] 
TASK: [test jinja2 filter] #5 ki i i k e 0 0 ie i A R k e E A A K K K EK AK KK 


ok: [172.17.42.103] 

PLAY RECAP %9 A A E A A A AK AE R AE A E E K E AE E A E E A E E R AE A E E K AE A K A K E K K K 
172.17.42.103 : ok=2 changed=0 unreachable=0 failed=0 
[root@Master ~]# ansible 172.17.42.103 -a 'cat /tmp/filter' 


172.17.42.103 | success | rc=0 >> 
['/root/status.py', '/root/hosts.py', '/root/shencan.py', '/root/mysql.py', '/root/filter.py', '/root/inventory-ansible.py'] 


2.&E X Jinja2 filter 


通过 上 一 小 节 我 们 已 经 了 解 了 Ansible 的 filter 执 行 原理 ， 如 果 我 们 想 扩 展 Ansible 的 filter， 可 以 直接 修改 上 面 的 filter Python 脚本 ， 但 是 不 建议 直接 修改 filter 源 码 文件 ， 因 为 这 样 不 利于 维护 ， 而 且 版 本 
升级 后 还 可 以 被 覆盖 ， 所 以 本 节 我 们 通过 Ansible 的 filter plugins 插 件 扩展 方式 去 定义 一 个 属于 自己 的 filter。 在 ansible.cfg 配 置 文件 里 面 的 filter_plugins 值 已 经 指定 了 filter_plugins 的 路 径 ， 我 们 只 需 在 这 
个 目录 下 编写 我 们 的 filter 即 可 。 下 面 通过 很 简单 的 方式 定义 两 个 filter， 这 里 只 是 展示 一 下 整个 filter 定 义 的 流程 ， 大 家 可 以 根据 工作 中 的 实际 需求 去 定义 即 可 : 


[root@Master ~]# cat /usr/share/ansible plugins/filter plugins/filter.py 
#!/usr/bin/python n T 
from jinja2.filters import environmentfilter 
from ansible import errors 
import time 
def string (str, seperator-' '): 
return str.split (seperator) 
def time (times) : 
return time.mktime (time.strptime (times, '$Y-tm-$d $H:$M:$5')) 
class FilterModule (object) : 
''' Ansible custom Filter''" 
def filters (self): 


return ( 
'shencan' : string, 
'shencanl': time, 


这 里 定义 了 两 个 filter， 分 别 是 shencan 和 shencan1， 然 后 shencan 引 用 string 函 数 ，shencan1 引 用 time 函数 ，string 函 数 的 作用 就 是 把 传 入 的 字符 串通 过 python str 内 置 的 spilt 方 法 切割 成 一 个 
python list。 上 默认 的 seperator 是 空格 ， 也 支持 传 入 seperator._time 函 数 的 作用 ， 例 如 把 %Y-%m-%d%H: 96M: %Ss 这 种 格式 的 时 间 算 成 时 间 戳 格式 。 


下 面 我 们 通过 编写 Jinja2 模 板 来 引入 我 们 定义 的 filter: 


root@Master ~]# cat filter.j2 

$ set String = 'www|shencan|com' $) 

( String | shencan('|') }} 

$ set Time = '2015-06-22 18:48:01' $) 
( Time | shencanl }} 


这 里 引入 shencan 和 shencan1 这 两 个 自 定义 的 filter， 下 面 我 们 把 这 个 Jinja2 放 到 playbook 的 task 中 运行 : 


[rootGüMaster ~]# cat filter.yaml 
- hosts: all 
tasks: 
- name: test jinja2 filter 
template: src-filter.j2 dest-/tmp/filter 
[root@Master ~]# ansible-playbook filter.yaml -1 172.17.42.102 


PLAY [all] **Xxddonoxdooiookoneoioopdioiooko ioebiaoeiokoopioioineldloeicinioeioiooek 
GATHERING FACTS % A H k e d H ER dE e K E AER E e K e E RE e e K e E RE e k e E RE e K E A RE A E KK K 


ok: [172.17.42.102] 
TASK: [test jinja2 filter] x4! oko RO E e E A K K E E A E K k K 


changed: [172.17.42.102] 


PLAY RECAP decer 
172.17.42.102 : ok=2 changed-1 unreachable-0 failed-0 
[rootüMaster ~]# ansible 172.17.42.102 -a 'cat /tmp/filter' 
172.17.42.102 | success | rc=0 >> 


'www', 'shencan', 'com'] 
1434970081.0 


因为 str.split 返 回 的 格式 是 一 个 python list 数 据 类 型 ， 所 以 Jinja2 演 染 后 的 结果 直接 通过 list 形 式 显 示 出 来 了 。 当 然 大 家 可 以 配合 jinja2 的 for 语 法 进一步 解析 。 这 里 就 不 做 过 多 介绍 了 。 关 于 Jinja2 这 个 模 
板 语言 可 以 通过 官网 链接 (http://jinja.pocoo.org/docs/dev/api/#writing-filters) 进行 深入 学 习 。 
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本 章 只 是 通过 简单 的 例子 去 扩展 Ansible 的 一 些 常 用 组 件 ， 通 过 前 面 的 章节 我 们 知道 Ansible 本 身 的 扩展 性 非常 强大 ， 后 面 的 章节 也 会 介绍 Ansible 的 一 些 常用 API。 正 是 由 于 Ansible 具 有 强大 的 扩展 性 ， 使 得 
我 们 可 以 很 容易 地 把 Ansible 和 线 上 业务 系统 (包括 监控 系统 ) 进行 整合 。 


第 7 章 用 ansible-vault 保 护 敏感 数据 


通过 前 面 章节 的 介绍 ， 您 应 该 已 经 深 深 体会 到 了 Ansible 是 优秀 的 流程 编排 工具 、 入 门 门槛 很 低 、 简 单 易 用 ， 这 都 是 为 什么 那么 多 人 开始 使 用 Ansible 并 喜欢 上 它 的 原因 。 但 在 运 维 工作 中 安全 是 非常 重要 
工作 之 一 ，Ansible 又 是 如 何 保护 敏感 信息 的 呢 ? 


Ansible 通 过 使 用 变量 编写 playbook， 在 的 变量 使 用 中 ， 我 们 看 看 如 何 分 离 数 据 和 代码 。 通 常 敏感 信息 存储 在 数据 中 ， 如 用 户口 令 、 数 据 基本 赁 证、API 密 钥 和 其 他 与 组 织 有 关 的 特定 信息 。Ansible 的 
Playbook 作 为 代码 通常 保存 在 如 Git 这 种 版 本 控制 系统 中 ， 这 在 协作 的 环境 中 很 难保 护 敏感 信息 的 安全 。 


从 Ansible 1.5 版 本 开始 ，Ansible 提 供 了 vault 数 据 安全 解决 方案 。vault 采 用 经 过 验证 的 加 密 技术 来 保证 敏感 信息 的 安全 存储 和 提取 。 使 用 vault 的 目标 就 是 要 对 敏感 信息 进行 加 密 ， 最 大 限度 地 保证 数据 在 版 
本 控制 系统 中 的 安全 ， 并 能 够 自由 地 存储 和 提取 。 


在 本 章 中 ， 我 们 将 讲解 下 面 三 个 方面 内 容 : 
- 了 解 ansible-vault 如 何 保护 数据 。 
“ ansible-vault 保 护 数 据 的 基本 操作 ， 包 括 加 密 、 和 解密 和 重 置 密码 操作 。 


“ 介绍 3 个 典型 的 实践 场景 ， 进 一 步 掌握 ansible-vault 的 实际 使 用 。 


7.1 了 解 ansible-vault 如 何 保 护 数 据 


Ansible 提 供 了 一 个 ansible-vault 工 具 用 于 管理 数据 安全 。ansible-vault 可 以 通过 调用 编辑 器 界面 创建 新 的 加 密 文件 ， 也 可 以 加 密 已 经 创建 好 了 的 文件 。 不 管 哪 一 种 方式 ， 都 需要 输入 vault 口 令 ， 这 个 
口令 采用 AES 加 密 算法 加 密 数 据 。 加 密 后 的 内 容 可 以 存储 在 版 本 控制 系统 ， 不 会 泄密 。 由 于 AES 是 基于 公共 对 称 密 钥 ， 因 此 在 解密 时 候 需 要 提供 相同 的 口令 。 对 于 提供 口令 有 两 种 方式 ， 在 执行 ansible 时 
候 ， 通 过 --ask-vault-pass 选 项 提示 输入 口令 ， 或 者 通过 --vault-password-file 选 项 提供 包含 口令 的 完整 路 径 的 文件 。 


7.2 使 用 ansible-vault 


表 7-1 列 出 ansible-vault 工 具 的 子 命令 。 
表 7-1 ansible vault 工 具 的 子 命令 
子 命令 描述 
create 使 用 编辑 器 创建 加 密 文件 。 这 需要 在 运行 之 前 先 配置 编辑 器 的 环境 变量 
edit 用 编辑 器 编辑 一 个 存在 的 加 密 文件 ， 在 内 存 中 解密 ， 退 出 编辑 器 后 又 保存 成 加 密 文 件 
encrypt 加 密 一 个 已 有 的 结构 化 数据 文件 
decrypt 解密 文件 。 使 用 这 个 命令 要 小 心 ， 不 要 把 解密 后 的 文件 提交 到 版 本 控制 系统 中 
rekey 改变 用 于 加 密 、 解 密 的 口令 


通过 ansible-vault 的 help 可 以 看 到 该 命令 的 子 命令 ， 如 下 所 示 : 


$ansible-vault --help 
Usage: ansible-vault [create|decrypt|edit|encrypt|rekey|view] [--help] [options] file name 


下 面 用 实例 介绍 几 个 命令 的 具体 用 法 。 


7.3 ”典型 应 用 场景 


下 面 介绍 ansible-vault 典 型 的 应 用 场景 。 
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本 章 讲解 了 如 何 使 用 ansible-vault 来 保证 playbook 中 数据 的 安全 。 我 们 从 需要 加 密 数据 的 需求 开始 ， 介 绍 ansible-vault 是 如 何 工作 、 如 何 加 密 的 。 然 后 详细 介绍 ansible-vault 工 具 的 基本 操作 ， 如 创建 加 密 文 
件 、 解 密 文件 、 重 置 密 钥 等 。 接 着 介绍 了 如 何 加 密 已 有 的 文件 ， 如 运行 ansible-vault 对 vars 文 件 加 密 来 保证 数据 库 任 证 的 安全 。 最 后 介绍 了 在 支持 SSL 的 Nginx 环 境 中 ， 如 何 用 vault 实 现 安全 存储 私有 密 钥 和 凭 
证 ， 以 及 通过 模板 进行 复制 。 当 然 ansible-vault 提 供 的 是 一 种 支持 Ansible 数 据 的 安全 模型 ， 在 使 用 ansible-vault 时 候 ， 还 需要 对 这 里 没有 介绍 的 系统 进行 安全 加 固 。 


第 8 章 ”Ansible 与 云 计算 


在 我 们 日 常 工作 中 一 般 都 是 使 用 Ansible 当 作 配置 管理 工具 ， 而 实际 上 Ansible 不 仅 是 一 款 优秀 的 配置 管理 工具 ， 它 还 是 架构 编排 的 利器 。 通 常 我 们 都 是 对 现 有 的 设备 去 进行 配置 管理 ， 其 实 Ansible 还 支持 
各 大 云 平台 的 架构 编排 。 可 能 国内 的 运 维 人 员 很 少 接触 国外 的 公有 云 平台 ， 但 是 大 家 肯定 对 OpenStack、AWS 和 Docker 这 些 云 计算 技术 很 熟悉 。 我 们 在 查看 Ansible 的 自 带 模块 时 会 发 现 Ansible 对 云 计算 这 块 是 
支持 最 多 的 一 个 配置 管理 工具 。 本 章 将 分 别 介 绍 Ansible 结 合 AWS 和 OpenStack 自动 创建 配置 实例 ， 以 及 对 目前 市 场 上 最 火 的 Docker 进 行 日 常 管理 ， 最 后 再 介绍 Ansible 和 jenkins 实 现 一 个 自动 化 持续 集成 的 项 


目 。 


8.1 了 解 云 平台 管理 流程 


通常 我 们 在 使 用 Ansible 的 时 候 首先 需要 知道 一 台 机 器 的 IP 地 址 以 及 SSH 认 证 方式 信息 等 ， 然 后 Ansible 通 过 SSH 方 式 去 管理 它 。Ansible 的 云 计算 中 的 应 用 场景 都 是 在 本 地 使 用 Ansible 已 经 封装 好 的 云 平 
台 模 块 (API) 去 连接 到 云 平台 上 新 建 一 个 或 者 多 个 实例 ， 其 自动 根据 云 平台 生成 后 的 实例 信息 做 下 一 步 的 任务 ， 比 如 新 建 机 器 设备 信息 录入 CMDB 系 统 ， 对 新 建 的 机 器 进行 自动 化 部 署 ， 对 新 建 的 机 器 添 
加 监控 ， 等 等 。 这 样 Ansible 可 以 很 快 地 新 建 出 一 套 业 务 架构 或 者 对 现 有 业务 架构 进行 快速 扩展 。 


8.2 Ansible AWs 和 Openstack 


AWS 是 亚马逊 公司 的 云 计 算 laas 和 Paas 平 台 ， 提 供 了 一 整套 基础 设施 和 应 用 程序 服务 。 你 能 够 在 云 中 运行 一 切 应 用 程序 ， 而 且 AWS 提 供 各 种 服务 。Openstck 也 是 目前 最 流行 的 一 个 开源 的 云 计 算 管 理 
平台 项 目 ， 使 用 它 可 以 很 容易 搭建 一 套 企 业 级 别 的 云 基础 架构 服务 平台 。 由 于 篇 幅 有 限 ， 本 书 就 不 针对 AWS 和 OpenStack 技 术 进 行 深入 讲解 了 。 下 面 笔者 就 通过 曾经 使 用 Ansible 管 理 AWS 和 OpenStack 的 
一 个 项 目 进行 讲解 Ansible 是 如 何 跟 AWS 和 OpenStack 紧 密 工作 的 。 


1.Ansible 与 AWS 


熟悉 了 流程 之 后 我 们 就 通过 一 些 示 例 来 讲解 如 何 使 用 Ansible 来 管理 AWS。 代 码 如 下 : 


- name: new aws instances 
hosts: 127.0.0.1 
connection: local 
gather facts: False 
vars: -— 
ID: "AKIAISFA43DUPLEVF44wS" 
KEY: "3f6mzQAhiLOgnlgPaaentyyD3MfVv3Fwm9xsde" 
tasks: 
- name: allocated EIP 
local action: allocated region-(( re }} 
register: EIP 
environment: 
AWS ACCESS KEY ID: "(( ID }}" 
AWS SECRET ACCESS KEY: "{{ KEY ]]" 
- name: new instances when env-production 
local action: 
module: ec2 
region: "(( re }}" 
keypair: "Yottaa-(( key }}-v1307" 
group id: "(( sid }}" 
instance type: "{{ type ])" 
image: "{{ ami }}" 
vpc subnet id: XXXXXXXX 
assign public ip: yes 
aws access key: "(( ID }}" 
aws secret key: "(( KEY }}" 
wait: yes 
volumes: 
- device name: /dev/sdb 
ephemeral: ephemeralO 
- device name: /dev/sdc 
ephemeral: ephemerall 
- device name: /dev/sdd 
ephemeral: ephemeral2 
- device name: /dev/sde 
ephemeral: ephemeral3 
register: ec2production 
- name: add tags to instances when env-production 
local action: ec2 tag resource-(( item.id }} region-(( re }} aws access key-(( ID }} aws secret key-(( KEY }} state-present 
with items: ec2production.instances 5 Bi ai z 
args: 
tags: 
Name: "{{ ro | upper }}" 
- name: associate the EIP 
local action: associate region-(( re }} allocateid-(( EIP.allocateid }} instanceid-(( item.id }} 
with items: ec2production.instances 
environment: 
AWS ACCESS KEY ID: "{{ ID Jj)" 
AWS SECRET ACCESS KEY: "(( KEY }}" 
- name: add instances to hosts group id when env-production 
local action: add host hostname-(( EIP.eip )) ansible ssh private key file-./Yottaa-Prod-v1307.pem ansible ssh user-yadmin groups-aws 
- name: create body files 
local action: template  src-./body-(( env ]).j2 dest-./(( item.id }} .json 
with items: ec2production.instances 


- name: insert data to CMDB 
uri: url-http://ops.yottaa.com:8000/api/instance/instances/ 
method-POST user-api password-qwl2ewq 
body-'(( lookup('file','./' + item.id + '.json') }}' force 
basic auth-yes B 
status code-201 HEADER Content-Type-"application/json" 
with items: ec2production.instances 
- name: wait for SSH to running when env-stage 
local action: wait for port-22 host-(( EIP.eip }} delay-10 
- name: configure the machine ~ 
hosts: aws 
user: yadmin 
sudo: yes 
tasks: 
- include: init.yml 


这 是 一 个 最 简单 的 使 用 Ansible 管 理 AWS 的 playbook。 因 为 这 个 playbook 只 针对 本 机 运行 ， 所 以 hosts 是 本 机 而 且 connection 方 式 是 local，tasks 都 是 使 用 local_action 模 式 。 还 有 使 用 AWS 的 API ( 模 
块 就 是 封装 Python 下 的 boto 库 ， 需 要 提前 安装 ) 需要 AWS 的 ID 和 ACCESS _KEY， 这 个 可 以 通过 AWS console 生 成 即 可 。 我 们 主要 看 第 2 个 task， 这 里 使 用 了 Ansible 的 ec2 模 块 去 新 建 机 器 ， 指 定 了 该 机 器 
的 一 些 属性 ， 比 如 region、vpc_id、 安 全 组 id 等 信息 。 此 task 运 行 后 ，AWS 会 把 新 建 这 人 台 机 器 的 所 有 信息 返回 给 ec2production。 下 面 我 们 就 可 以 针对 这 台 机 器 做 如 下 一 些 相关 操作 ， 例 如 : 


“ 第 3 个 tasks 给 这 台新 机 器 指定 一 个 tag 标 签 。 

' 第 4 个 task 给 这 台 机 器 分 配 一 个 EIP 地 址 。 

- 第 5 个 task 是 把 这 台新 建 的 主机 使 用 add_host 模 块 添加 到 Inventory 里 面 并 且 指 定 一 些 SSH 认 证 信息 (临时 添加 ) o 
“ 第 6 个 和 第 7 个 task 是 把 新 生成 的 机 器 的 信息 进行 整理 然后 通过 CMDB 系 统 的 API 自 动 加 入 到 CMDB 系 统 。 

“ 第 8 个 task 是 等 待 这 台新 的 机 器 SSHD 服 务 运行 正常 后 ， 进 行 下 一 步 处 理 。 


“ 最 后 一 个 task 是 针对 上 面 的 机 器 进行 配置 管理 了 。 引 用 的 playbook 已 经 封装 好 了 很 多 配置 流程 ， 所 以 只 要 这 个 playbook 运 行 完成 后 ， 一 台 机 器 所 有 的 部 署 工作 都 自动 化 完成 了 ， 下 一 步 的 工作 就 是 随时 
把 它 加 入 到 业务 系统 中 。 


2.Ansible&OpenStack 


通过 上 面 同样 的 方法 我 们 也 可 以 使 用 Ansible 在 Openstack 平 台 上 新 建 并 且 配 置 机 器 ， 下 面 我 们 直接 通过 示例 讲解 。 当 然 每 个 模块 的 依赖 包 需要 提前 安装 好 ， 比 如 python-novaclient python- 


keystoneclient 等 。 


- name: new openstatck instances 
hosts: 127.0.0.1 
gather facts: False 
vars: 
auth url: http://10.8.6.2:35357/v2.0/ 
login username: admin 
login tenant name: admin 
login password: yottaaops!@# 
image id: c1c28aa4-a892-40a0-b7aa-f692fd2785b1 
keypair name: Yottaa-Stage-v1307 
private net: 696bfa85-5e8e-4dea-b41lc-e066bfa925ac 
connection: local 


tasks: 
- nova compute: 
auth url: "(( auth url }}" 
login username: "{{ login username }}" 
login password: "(( login password }}" 


login tenant name: "(( login tenant name }}" 

security groups: default T z 

state: present 

name: "{{ ro }}-{{ 1000000 |random(1, 1) }}.yottaa.com" 
image id: "{{ image id }}" 

lar "(( keypair name ]]" 

: "(( flavor id }}" 


- net-id: "(( private net ]]" 
register: openstack 
- name: pull floating ip address 
local action: floating 
x username-(( login username }} password-(( login password ]] 
tenant-(( login tenant name }} authurl-(( auth url }} 
register: floating ip 7 T 
- name: bond floating ip to instance 
local action: bondip openstack 
Hi username-(( login username }} password-(( login password }} 
tenant-(( login tenant name }} authurl-(( auth url }} 
instance id-(( openstack.id }} floating ip-(( floating ip.res }} 
- name: add instances to hosts 
local action: add host hostname-(( floating ip.res }} ansible ssh private key file-/Users/shencan/key/Yottaa-Stage-v1307.pem ansible ssh user-root groups-openstack 
- name: wait for SSH to running 
local action: wait for port-22 host-(( floating ip.res }} delay-10 
- name: create body files B 
local action: template  src-./body-openstack.j2  dest-/tmp/(( openstack.id )).json 
- name: insert data to CMDB 
uri: url-http://ops.yottaa.com:8000/api/instance/instances/ 
method-POST user-api password-qwl2ewq 
body-'(( lookup('file','/tmp/' + item + '.json') }}' force basic auth-yes 
status code-201 HEADER Content-Type-"application/json" T T 
with_items: openstack.id 
- name: sendmail 
local_action: mail 
host='127.0.0.1' 
port=25 
subject="new instances information in {{ openstack.info.name }}" 
body-"instances id is {{ openstack.id }} public ip is {{ floating_ip.res }} " 
to-"xiangjun.zhang8yottaa.com, can.shenGyottaa.com" 
charset-utf8 
attach-"/tmp/(( openstack.id )].json" 
- name: configure the machine 
hosts: openstack 
user: root 
tasks: 
- include: init.yml 


n 


可 以 看 到 整个 playbook 流 程 跟 AWS 流 程 是 一 样 的 ， 需 要 先 通 过 nova_compute 模 块 去 创建 实例 ， 然 后 根据 OpenStack 返 


的 信息 进行 操作 。 所 以 这 个 playbook 就 不 再 进行 详细 讲解 了 。 


8.3 Ansible 与 Docker 


Docker 是 目前 最 热门 的 一 个 虚拟 化 管理 工具 ， 相 当 于 Xen 或 者 KVM 虚 拟 化 技术 的 Docker 有 着 它 独 一 无 二 的 优势 。 关 于 Docker 的 安装 ， 本 书 不 再 进行 介绍 了 。 如 果 Docker 安 装 的 依赖 都 满足 了 ， 直 接 使 
Ansible IP-m yum-a'name-docker-io state=latest' 安 装 即 可 。 目 前 Ansible 对 Docker 只 有 两 个 模块 ， 一 个 是 对 Docker 镜 像 的 日 常 管理 模块 docker image， 一 个 是 对 Docker 容 器 的 日 常 管理 模块 


Docker。 关 于 这 两 个 模块 的 用 法 可 以 使 
Docker， 一 定 得 让 dokcer 服 务 监听 一 个 TCP 端 | 


PE 


回 


1.Docker 镜 像 管理 


我 们 先 来 看 一 下 playbook: 


ansible-doc docker 或 者 ansible-doc docke_iamge 进 行 查看 。 当 然 也 要 了 解 这 两 个 模块 的 依赖 ， 安 装 docker-py python 库 即 可 。 如 果 想 远程 使 
我 们 就 分 别 通过 示例 来 讲解 如 何 使 用 Ansible 管 理 Docker。 


Ansible 管 理 


[root@vm10-160-112-18 ~]# cat docker imeage.yaml 


- hosts: 127.0.0.1 
tasks: 
- name: build image 


docker image: path-"/root/Dockerfiles" name-"centos6.6/ssh" tag-"v5" 


State-present 


这 个 playbook 在 本 机 上 建立 一 个 Docker 镜 像 ， 当 然 也 支持 远程 管理 ， 通 过 docker_url 参 数 指定 远 端 Docker 服 务 器 即 可 。 下 | 


我 们 运行 这 个 playbook， 然 后 查看 Docker 镜 像 : 


[root8vm10-160-112-18 ~]# ansible-playbook docker imeage.yaml 


PLAY [127.0.0.1] XXn oio A K A E E K A e E K A e E K A TE OO OO OOo 
GATHERING FACTS AK H A dk d A R d A E AE K d k E AE R e e k e A K E A k E AE R E K AK E A A KKK AK K 


ok: [127.0.0.1] 


TASK: [build image] exeo ko dio RODEO ORO ene 


ok: [127.0.0.1] 


PLAY RECAP c4 ckokokd kk Ok e A A A E E K E e A Ae A E A A AE E E e H ORCI KR KR OK 


127.0.0.1 : Ok=2 changed=0 unreachable-0 failed-0 

[root8vm10-160-112-18 ~]# docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
centos6.6/ssh v5 6479cea71ed5 5 days ago 346.3 MB 
Dockerfiles 目 录 下 的 文件 如 下 所 示 : 

[root8vm10-160-112-18 Dockerfiles]# tree 

. |——— Dockerfile epel-release-6-8.noarch.rpm ssh.repo supervisord.conf 


0 directories, 4 files 

[root8vm10-160-112-18 Dockerfiles]# cat Dockerfile 

FROM centos:6.6 

MAINTAINER shencan http: //www.shencan.net 

do Installing Salt ----- 

ADD ./epel-release-6-8.noarch.rpm /root/epel-release-6-8.noarch.rpm 
ADD ./ssh.repo /etc/yum.repos.d/ssh.repo 

RUN rpm -vih /root/epel-release-6-8.noarch.rpm 

RUN yum install salt-minion openssh-server supervisor openssh-clients openssh telnet 
RUN yum install --assumeyes which 

RUN sed -i 's/fmaster: salt/master: 192.168.2.1/g' /etc/salt/minion 
RUN echo 123456 |passwd --stdin root 

RUN ssh-keygen -t rsa -f /etc/ssh/ssh host rsa key 

RUN ssh-keygen -t dsa -f /etc/ssh/ssh host dsa key 

RUN sed -i 's/UsePAM yes/UsePAM no/g' /etc/ssh/sshd config 

ADD supervisord.conf /etc/supervisord.conf 

EXPOSE 22 

CMD ["/usr/bin/supervisord"] 


-Y 


这 里 只 是 简单 地 使 


2.Docker 容 器 管理 


介绍 了 Docker 镜 像 的 管理 后 ， 我 们 再 来 介绍 使 


Ansible 去 建立 了 一 个 镜像 ， 关 于 Docker 镜 像 的 其 他 管理 方式 Ansible 也 是 支持 的 ， 比 如 删除 一 个 镜像 。 


Ansible 来 管理 Docker 容 器 ， 比 如 新 建 或 删除 容器 等 操作 。 我 们 通过 上 一 节 建立 的 镜像 4 


成 三 个 容器 ， 如 下 所 示 : 


- hosts: 127.0.0.1 
tasks: 
- name: docker container 
docker: name-ansible(( item }} image-centos6.6/ssh:v5 
started docker api version-1.7.1 
with items: 


state- 


11 


1 
= 
3 


这 就 是 一 个 简单 的 运行 docker 容 器 ， 当 然 docker 模 块 也 支持 很 多 其 他 参数 ， 比 如 端 
器 ， 如 下 所 示 : 


映射 、 目 录 挂 载 等 。 具 体 参数 通过 ansible-doc docker 查 看 即 可 。 我 们 运行 这 个 playbook， 然 后 查看 docker 容 


[root8vm10-160-112-18 ~]# ansible-playbook docker.yaml 


PLAY [127.0.0.1] XJ 00 00 0 0c OOOOOIOOIOOIOOIOCOIOOORO ORO Rneleioieiekeiieeleioer 
GATHERING FACTS Auk Xdoekkd de E kk ok KORREKTE 
ok: [127.0.0.1] 

TASK: [docker container] Cee9Áeeeeooooo ooo ooo lolo 
changed: [127.0.0.1] => (item=1) 

changed: [127.0.0.1] => (item-2) 

changed: [127.0.0.1] => (iteme3) 

PLAY RECAP  # A A A A A F k A A A A A k E AE A E A E E A A e A K A AE E e A k A A A e A K A A A E A E E A A AK A 
127.0.0.1 : Ok=2 changed-1 unreachable-0 failed-0 
[root8vm10-160-112-18 ~]# docker ps |grep ansible 


2b266ad450eb centos6.6/ssh:v5 "/usr/bin/supervisor 9 seconds ago 
ef9adca84a8d centos6.6/ssh:v5 "/usr/bin/supervisor 10 seconds ago 
21aca76726e5 centos6.6/ssh:v5 "/usr/bin/supervisor 11 seconds ago 


Up 9 seconds 
Up 10 seconds 
Up 11 seconds 


22/tcp 
22/tcp 
22/tcp 


ansible3 
ansible2 
ansiblel 


8.4 Ansible Jenkins 


Jenkins 是 一 款 基 于 Java 开 发 的 持续 集成 工 


，Jenkins 提 供 一 个 友好 的 平台 可 以 让 我 们 去 完成 那些 重复 的 工作 ， 目 前 Jenkins 已 经 支持 各 种 各 样 的 插件 ， 包 括 SaltStack、Ansible、Puppet 这 类 自动 化 配 


管理 工具 。 我 们 可 以 把 经 常 重复 的 工作 集成 到 Jenkins 上 ， 从 而 提高 工作 效率 。jJenkins 是 一 个 强大 的 平台 ， 它 可 以 配合 强大 的 插件 库 实现 很 多 功能 ， 本 书 只 是 简单 讲解 Jenkins 与 Ansible 的 集成 ， 关 于 


Jenkins 更 多 强大 的 功能 可 以 参考 Jenkins 官 网 (http://jenkins-ci.org/) 。 


1. 安 装配 置 Jenkins 


Jenkins 安 装 方式 很 多 ， 本 书 只 介绍 在 CentOS 下 采用 yum 安 装 方式 ， 其 他 安装 方式 可 以 参考 Jenkins 官 网 。 首 先 我 们 需要 添加 Jenkins 软 件 源 ， 然 后 使 
Jenkins 依 赖 Java 环 境 ， 所 以 安装 Jenkins 之 前 确保 Java 环 境 已 经 安装 ， 如 果 没有 Java 环 境 也 可 以 使 用 yum installjava-1.7.0-openjdk-y 安 装 。 下 面 


yum installjenkins-y 即 可 。 需 要 注意 的 是 


是 导入 Jenkins 源 : 


wget -0 /etc/yum.repos.d/jenkins.repo http://pkg.jenkins-ci.org/redhat/jenkins.repo 
rpm --import http://pkg.jenkins-ci.org/redhat/jenkins-ci.org.key 


上 默认 Jenkins 服 务 是 以 Jenkins 用 户 运行 的 ， 包 括 在 Jenkins 平 台 上 的 项 目 都 是 在 Jenkins 用 户 下 运行 的 ， 这 里 为 了 下 面 调 用 Ansible 揪 件 ， 所 以 改 成 root 用 户 了 。 最 后 启动 服务 即 可 : 


[root@vm10-160-112-18 ~]# cat /etc/sysconfig/jenkins |grep USER 
JENKINS USER-"root" 

[rootévm10-160-112-18 ~]# /etc/init.d/jenkins start 

Starting Jenkins [确定 ] 


然后 通过 http://IP: 8080 访 问 Jenkins Ul。 第 一 次 登录 时 不 需要 任何 认证 信息 ， 登 录 进去 后 通过 “系统 管理 ->Configure Global Security” 设 置 用 户 名 与 密码 。Jenkins 也 支持 LDAP 认 证 。 


2. 安 装 Jenkins Ansible 插 件 


到 这 里 Jenkins 平 台 的 基础 环境 已 经 搭建 好 了 ， 下 面 我 们 就 介绍 如 何 与 Ansible 结 合 。 目 前 Jenkins 已 经 有 插件 支持 Ansible 了 ， 插 件 名 称 是 Ansible Plugin， 关 于 插件 相关 介绍 可 以 通过 以 下 地 址 进行 了 
fi: 


https://wiki.jenkins-ci.org/display/JENKINS/Ansible-Plugin 


下 面 我 们 就 通过 Jenkins 平 台 安 装 这 个 插件 ， 点 击 “ 系 统管 理 -> 管理 插件 -> 可 选 插件 ”， 然 后 搜索 Ansible， 勾 选 Ansible plugin， 点 击 直接 安装 即 可 。 为 了 对 Ansible 执 行 结果 颜色 格式 化 ， 这 里 我 们 顺 
便 也 安装 一 个 AnsiColor 插 件 。 安 装 方法 与 上 面 一 样 ， 如 图 8-1 所 示 。 安 装 好 插件 后 ， 需 要 对 播 件 进行 相应 的 配置 。 点 击 “ 系 统管 理 -> 系 统 设置 ->Ansible” 即 可 。 这 里 我 们 需要 指定 Ansible 和 ansible- 
playbook 执 行文 件 的 目录 。 最 后 点 击 “ 保 存 ”。 


— anle 
Path to ansibie executables directory Nariny 
nona e 
Ant bie 
Name ^" t 
Path t0 ansibie executables directoty (ortey 
ANRA e 
Mf Ande 
Kit TAnsbie RAFA 


图 8-1 ansible-playbook 执 行文 件 定义 


到 这 里 Ansible 插 件 的 安装 与 配置 就 完成 了 。 下 面 我 们 就 可 以 建 Jenkins 项 目 了 。 


3. 新 建 Ansible 项 目 


现在 我 们 建 两 个 Ansible 项 目 : 一 个 是 执行 Ansible Ad-Hoc 命 令 ， 一 个 是 执行 ansible-playbook。 新 建 项 目 时 直接 点 击 “ 新 建 ”按钮 即 可 。 这 里 我 们 选择 构建 一 个 自由 风格 的 软件 项 目 ， 第 一 个 项 目 我 
们 起 名 叫 Ansible Ad-Hoc Commad。 然 后 进入 项 目 配置 页 面 。 这 里 我 们 只 需 关心 构建 。 点 击 增加 构建 步骤 ， 如 图 8-2 所 示 ， 我 们 选择 Invoke Ansible Ad-Hoc Command。 然 后 参数 如 下 ， 最 后 点 击 “ 保 


foci" (anaibe root E) $C age 


H8-2 ”构建 项 目 配置 


Ansibe Ad-Hoc Command 项 目 就 建 好 了 。 我 们 点 击 构建 就 可 以 运行 项 目 了 。 项 目 运行 完成 后 ， 点 击 console output 查 看 结果 ， 如 图 8-3 和 图 8-4 所 示 。 


Jerkins Angble Ad-Hoc Commred 


È xS Project Ansible Ad-Hoc Commad 
EAE x 
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图 8-3 构建 运行 项 目 


Jenkins > AnsibeAd-HocCommad ， #6 


SEN O 控制 台 输 出 


状态 集 
T 去 更 沁 录 Started by user ansible 
Building in workspace /var/lib/jenkins/workspace/Ansible Ad-Eoc Conmad 
E Console Output [Ansible Ad-Hoc Commad| $ /usr/bin/ansible all -i /rcot/hosts -m shell -a hostnane -f 5 
172.17.0.3 | success | ro=0 >> 
... Miew ss plain text 1£5£0625e3c: 
C AHURHHER 172.17.0.5 | success | rc«0 >> 
b7719535732f 
O misuse 
172.17.0.2 | success | rc*0 
LE 前 一 次 构建 Ca862dd4519: 


172.17.0.6 nucceaos 
767d6150919b 


172.17.0.4 success 
7e5d£12a426f 


172.17.0.7 success 
S@la4ldfa76a 


172.17.0.8 success 
3b3804cf8605 


172.17.0.9 | sucooos | ror0 >> 
q557a45£14d4 


172.17.0.11 | success | rc*0 >> 
fac12b820143 


172.17.0.10 | success | rc=0 >> 
€324aled0b5$ 


Finished: SUCCESS 


图 8-4 项 目 运行 结果 


到 这 里 Ansibe Ad-Hoc Command 项 目 就 完成 了 。 下 面 我 们 按照 上 面 的 步骤 再 新 建 一 个 Ansible Playbook 项 目 ， 唯 一 不 同 的 就 是 在 构建 的 过 程 中 选择 Invoke Ansible Playbook。 然 后 制定 下 playbook 
文件 即 可 ， 颜 色 格 式 化 配置 如 图 8-5 所 示 。 同 样 最 后 点 击 “ 保 存 ”。 


Crederbais — roc" (ansible ret 认证 | + 


图 8-5 颜色 格式 化 配置 


接着 我 们 也 点 击 立即 构建 运行 playbook， 最 后 查看 结果 ， 如 图 8-6 所 示 。 


Ancible paybook 
4^ RSEIE 
Q, I! 


Console Output 
.. View as plain text 


Jenkins 是 一 个 很 强大 的 持续 集成 平台 ， 它 


8.5 ”本 章 小 结 


@ 控制 台 输 出 


Startod by user ansible 
Duilding in workspace /var/lib/jonkins/vorkspaco/Ansibie playbook 
[Ansible playbook] $ sshpags ******** /asr/bin/aasible-playbock /root/site.yam] -i /root/hosts -f 5 -ù root -k 


PLAY [all] 4e**eseaseksensh usd hsuhshrsasdeshm ce ahtehrhesas saec esi shme mos 


CATHERING PACTS "5949444 Var YA ARE AHWERAETRERTAREATFATERETRATANTAT HARE Ho ánh 


Thursday 02 July 2075 22:54:40 50800 (5:00:00,015) 0:00:60,015 *eesesvess 


TASX: [tont] F8 4A VWAR VARVARVATERVARERAORRARRANEAREAREHATRAETARTARAHEYVHATAERTATHTMN 
Thursday 02 July 2015 22:54:42 +0000 (5:00:01.528) 0:00:01.544 etat 


PLAY RECAP tmn IP deccm sh sm 


Thursday 02 July 2015 22:54:43 +0600 (2:00:01.334) 


uzreachable*Q failed«0 
uxreachablesÓ failed» 
usreachable-0 failod-9 
usreachable=0 faliloc-O0 
uireachabie-Q failec-2 
usreschablesüt failed«o 
usroachable-O failoé-0 
uareechable*Qg failed"Q 
uareechablesQ failed=9 
usreachables0 failod»ð 


Finished: SUCCESS 


有 强大 的 插件 库 可 以 跟 很 多 工具 进行 集成 。 本 书 只 对 Jenkins 进 行 最 简单 的 介绍 ， 强 烈 推荐 读者 去 认真 去 了 解 Jenkins 这 个 强大 的 持续 集成 工具 。 


可 能 有 人 认为 Ansible 只 是 一 个 很 方便 的 配置 管理 工具 ， 其 实 Ansible 所 有 自 带 的 模块 中 关于 云 计算 相关 的 模块 是 最 多 的 。 我 在 真正 开始 深入 研究 Ansible 之 前 ， 最 早 有 个 需求 就 是 能 够 同时 管理 我 们 业务 中 
多 种 云 平台 上 的 机 器 ， 比 如 我 就 遇 到 有 业务 同时 跑 在 AWS、OpenStack、Azure 上 ， 如 何 选 择 一 个 工具 能 同时 支持 这 些 云 平台 很 费 周折 ， 后 来 我 选择 Ansible 解 决 了 问题 。 我 深刻 体会 到 ， 在 云 平台 管理 上 


Ansible 具 有 很 多 工具 难以 媲美 的 功能 。 
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Zabbix 是 目前 最 流行 的 一 款 企业 级 别 的 监控 软件 ， 它 的 易 用 性 以 及 扩展 性 非常 强大 ， 加 上 自 带 丰富 的 API 功 能 ， 使 得 它 几 乎 成 为 每 个 互联 网 公司 的 标 配 运 维 组 件 。Zabbix 的 默认 架构 是 C/S 架 构 ， 当 然 
Zabbix 也 支持 Proxy 代 理 架 构 。 关 于 Zabbix 的 其 他 相关 知识 可 以 参考 我 的 好 友 吴 兆 松 同 学 编写 的 《Zabbix 企 业 级 分 布 式 监控 系统 》 这 本 书籍 ， 我 个 人 认为 这 是 市 面 上 最 好 的 Zabbix 书 籍 。 本 章 将 介绍 用 Ansible 配 
置 部 署 Zabbix。 


9.1 了 解 部 署 流程 


在 使 用 Ansible 配 置 部 署 Zabbix 之 前 ， 我 们 一 定 得 先 清楚 想 要 实现 一 个 什么 样 的 环境 ， 比 如 我 们 使 用 Ansible 安 装 zabbix-server、zabbix-porxy 和 zabbix-agent， 我 们 希望 Ansible 完 成 运行 后 ， 整 个 
Zabbix 环 境 处 于 一 个 什么 状态 以 及 后 续 去 怎么 维护 和 扩展 ， 等 等 。 因 为 Zabbix 有 数据 库 、server 和 proxy 以 及 agent 的 概念 ， 所 以 这 里 我 们 会 涉及 配置 文件 中 每 个 业务 角色 的 定义 和 指向 问题 。Zabbix 最 简 
单 的 流程 就 是 agent 端 配置 中 指向 proxy 服 务 器 ，proxy 服 务 器 会 处 理 该 节点 所 有 agent 的 监控 数据 以 及 存储 ， 最 后 会 把 所 有 节点 的 数据 发 送 给 server 端 ， 然 后 server 对 数据 进行 存储 分 析 以 及 相关 的 展示 ， 等 
=A 


在 了 解 整个 业务 逻辑 之 后 ， 我 们 就 可 以 规划 如 何 使 用 Ansible 来 实现 这 个 状态 或 者 功能 。 


9.2 编写 业务 roles 


为 了 更 好 地 管理 和 复 用 Ansible 的 配置 管理 文件 ， 笔 者 使 用 roles 的 形式 编写 日 常 配置 管理 文件 。 通 过 上 一 节 分 析 Zabbix 数 据 流程 之 后 ， 我 们 就 可 以 知道 需要 给 哪些 业务 角色 编写 playbook 了 。 


这 里 是 针对 Zabbix 业 务 角色 来 编写 role， 比 如 笔者 准备 了 4 个 roles 分 别 是 base、zabbix-server、zabbix-proxy、zabbix-agent， 在 实际 部 署 过 程 中 会 根据 需求 部 署 来 引用 对 应 的 role。base 角 色 的 工 
作 主 要 是 针对 所 有 主机 进行 一 些 基础 环境 初始 化 。 


下 面 我 们 来 为 Zabbix 环 境 进 行 主机 信息 相关 的 规划 ( 见 表 9-1) ， 操 作 系统 采用 最 新 的 CentOS 6.7，zabbix-server、zabbix-proxy、zabbix-agent 都 是 采用 目前 最 新 的 2.4.6 版 本 。 


表 9-1 主机 信息 


主机 名 ip 地 址 角色 
server.shencan.net 192.168.1.100 zabbix-server/mysgl-server/zabbix-agent/zabbix-ui 


proxy.shencan.net 192.168.1.115 zabbix-proxy/mysgl-server/zabbix-agent 


agent.shencan.net 192.168.1.111 zabbix-agent 


主机 信息 规范 好 之 后 ， 就 可 以 在 Ansible 的 hosts 文 件 定义 主机 以 及 相关 的 变量 了 : 


[zabbix-server] 


192.168.1.100 hostname-server.shencan.net 
[zabbix-proxy] 

192.168.1.115 hostname-proxy.shencan.net 
[zabbix-agent] 

192.168.1.111 hostname-agent.shencan.net 


为 了 以 后 扩展 以 及 批量 部 署 zabbix-agent， 这 里 在 group_vars/all 变 量 定义 文件 中 定义 了 zabbix-server 和 zabbix-proxy 相 关 的 主机 信息 : 


zabbix server: 192.168.1.100 
zabbix proxy: 192.168.1.115 
ansible ssh user: root 


hosts 文 件 和 主机 变量 信息 定义 好 之 后 就 可 以 编写 role 了 。 下 面 将 分 别 介绍 每 个 role 相 关 的 playbook 以 及 模板 文件 。 我 们 首先 从 base 角 色 开 始 。 来 看 看 main.yaml 文 件 : 


- name: set hostname 
hostname: name-(( hostname }} 
- name: Change network files 
Shell: sed -i "s/HOSTNAME-.*/HOSTNAME-(( hostname }}/g" /etc/sysconfig/network 
- name: Stop Iptables 
service: name-iptables state-stopped  enabled-no 
- name: disable seliunx 
shell: /usr/sbin/setenforce 0 && sed -i 's/SELINUX-enforcing/SELINUX-disabled/g' /etc/sysconfig/selinux 
- name: Install libselinux-python 
raw: yum install libselinux-python -y 
- name: copy epel yum source 
copy: src-(( item.src }} dest-(( item.dest }} owner-root group 
=root mode-644 
with items: 
{src: epel.repo, dest: /etc/yum.repos.d/epel.repo ] 
[src: RPM-GPG-KEY-EPEL-6, dest: /etc/pki/rpm-gpg/RPM-GPG 
-KEY-EPEL-6 


f= ii 


{src: RPM-GPG-KEY-ZABBIX, dest: /etc/pki/rpm-gpg/RPM-GPG 
-KEY-ZABBIX } 
- (src: zabbix.repo, dest: /etc/yum.repos.d/zabbix.repo } 
- name: copy /etc/hosts files 
template: src-hosts.j2 dest-/etc/hosts owner-root group-root mode-644 


第 1 个 task 是 引用 hostname 模 块 进行 主机 名 的 修改 。 


第 2 个 task 是 引用 shell 模 块 进行 /etc/sysconf ig/network 文 件 中 主机 名 的 修改 。 


第 3 个 task 是 引用 service 模 块 关闭 iptables 服 务 。 


第 4 个 task 是 引用 shell 模 块 对 seliunx 的 关闭 以 及 配置 。 


第 5 个 task 是 引用 raw 模 块 进行 安装 libselinux-python 包 (如果 主机 开启 了 selinux 需 要 安装 此 包 ) 。 


第 6 个 task 是 引用 copy 模 块 进行 yum 源 配置 的 同步 ， 这 里 采用 了 with_items 进 行 多 个 文件 循环 同步 。 


第 7 个 task 是 引用 template 模 块 进行 /etc/hosts 文 件 生成 。 


这 里 采用 绑 定 hosts 的 方式 ， 下 面 是 hostsj2 模 板 文件 : 
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 
LEE localhost localhost.localdomain localhost6 localhost6.localdomain6 


is for host in groups['all'] $) 
[t hostvars[host]['inventory hostname'] }} {{ hostvars[host]['hostname'] }} 
[5$ endfor $) 


将 Inventory 的 hosts 文 件 内 所 有 主机 信息 绑 定 到 所 有 主机 上 。 到 此 就 是 base 角 色 所 有 的 task 操 作 ， 是 完成 一 些 主机 名 的 更 改 ，Iptables 和 Selinux 的 关闭 ， 还 有 一 些 yum 源 的 配置 。 


我 们 再 来 看 下 zabbix-serverrole 的 main.yaml， 主 要 是 负责 安装 和 配置 zabbix-server 和 MySQL: 


- name: Install Mysql-Server and zabbix-server 
yum: name-(( item }} state-latest 
with items: 
- mysql-server 
- zabbix-server 
- zabbix-server-mysql 
- zabbix-web-mysql 
- name: Init Mysql 
shell: mysql install db 
- name: Start mysql-server 
service: name-mysqld state-started enabled-yes 
- name: Set mysql admin password 
shell: /usr/bin/mysqladmin -u root password 'ansible' 
- name: Create Zabbix master databases 
shell: mysql -u root -pansible -e 'create database zabbix master 


character set utf8 collate utf8 bin;' 


- name: Set Zabbix Master databases grant 


shell: mysql -u root -pansible -e 'grant all privileges on zabbix master.* to zabbix8localhost identified by "master";' 


- name: Import zabbix initial data (schema.sql) 


shell: mysql -u zabbix -pmaster zabbix master < schema.sql chdir-/usr/share/doc/zabbix-server-mysql-2.4.6/create 


- name: Import zabbix initial data (images.sql) 


shell: mysql -u zabbix -pmaster zabbix master < images.sql chdir-/usr/share/doc/zabbix-server-mysql-2.4.6/create 


- name: Import zabbix initial data (data.sql) 


shell: mysql -u zabbix -pmaster zabbix master < data.sql chdir-/usr/share/doc/zabbix-server-mysql-2.4.6/create 


- name: change PHP timezone 
shell: sed -e 's8;date.timezone -.*8date.timezone = Asia/Shanghaiüg' /etc/php.ini 
- name: Copy /etc/zabbix/zabbix server.conf files 
template: src-zabbix server.conf dest-/etc/zabbix/zabbix server.conf owner-root group-root mode-644 
- name: Start Zabbix-Server and httpd 
service: name-(( item }} state-started enabled-yes 
with items: 
= zabbix-server 
- httpd 


zabbix-serverfitasksE/ RZ, ENSE SBRSEERS SERES BOB, KEM —1 1481, YFGMySQUS'&fssRAnsibleB Te RSEsERsEC; MySQUERTI 


Ansible 自 带 的 模块 进行 配置 管理 ， 不 仅仅 是 方便 使 用 ， 而 且 Ansible 官 方 的 模块 对 整个 状态 管理 做 得 很 好 。 


我 们 再 来 看 zabbix-proxyrole 的 main.yaml， 主 要 是 负责 安装 和 配置 zabbix-proxy 和 MySQL: 


居 库 和 用 户 的 管理 ， 建 议 编写 task 的 时 候 尽量 使 


- name: Install Mysql-Server and zabbix-server 
yum: name-(( item }} state-latest 
with items: 
- mysql-server 
- zabbix-proxy 
- zabbix-proxy-mysql 
- name: Init Mysql 
shell: mysql install db 
- name: Start mysql-server 
service: name-mysqld state-started enabled-yes 
- name: Set mysql admin password 
shell: /usr/bin/mysqladmin -u root password 'ansible' 
- name: Create Zabbix master databases 
shell: mysql -u root -pansible -e 'create database zabbix proxy character set utf8 collate utf8 bin;' 
- name: Set Zabbix Master databases grant 


shell: mysql -u root -pansible -e 'grant all privileges on zabbix proxy.* to zabbix6localhost identified by "proxy";' 


- name: Import zabbix initial data (schema.sql) 


shell: mysql -u zabbix -pproxy zabbix proxy < schema.sql chdir-/usr/share/doc/zabbix-proxy-mysql-2.4.6/create/ 


- name: Copy /etc/zabbix/zabbix proxy.conf files 

template: srcezabbix proxy.conf dest-/etc/zabbix/zabbix proxy.conf owner-root group-root mode-644 
- name: Start Zabbix-Server and httpd 

service: name-zabbix-proxy state-started enabled-yes 


Zzabbix-proxy 的 task 流 程 跟 zabbix-server 很 多 地 方 类 似 ， 比 如 数据 库 的 安装 以 及 配置 ， 引 用 在 zabbix_proxy.conf 模 板 中 需要 制定 zabbix-server 的 信息 ， 下 面 我 们 简单 来 看 看 这 个 模板 文件 (只 截取 有 


变量 引 


Server= {{ zabbix server }} 
Hostname={{ hostname }} 
ListenIP-(( inventory hostname }} 


最 后 我 们 来 看 看 zabbix-agentrole 的 main.yaml 文 件 : 


- name: Install Zabbix-Agent 

yum: name-zabbix-agent  state-latest 
- name: Copy /etc/zabbix/zabbix agentd.conf 

template: src-zabbix agentd.conf dest-/etc/zabbix/zabbix agentd.conf owner-root group-root mode-644 
- name: Start zabbix agnet 

service: name-zabbix-agent state-started enabled-yes 


zabbix-agent 的 task 最 好 理解 ， 主 要 是 负责 zabbix-agentd 的 安装 以 及 配置 文件 和 服务 的 管理 。 这 里 采用 template 的 方式 管理 zabbix-agent 的 配置 文件 ， 在 模板 中 它 会 引用 zabbix-server 和 zabbix- 
proxy 的 主机 信息 。 我 们 来 看 看 zabbix_agentd.conf 模 板 文件 的 内 容 (只 截取 有 变量 引用 的 行 ) : 


Server-(( zabbix server }},{{ zabbix proxy ]] 
ListenIP-(( inventory hostname }} 
ServerActive-(( zabbix proxy )):10052 
Hostname-(( hostname }} 


再 看 整个 目录 结构 以 及 文件 列表 : 


total 16 
drwxr-xr-x 4 shencan staff 136 8 31 14:21 base 
drwxr-xr-x 3 shencan staff 102 9 5 00:08 group vars 


-rw-r 


1 shencan staff 179 9 5 00:10 hosts 


-rw-r--r-- 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 


1 shencan 
4 shencan 
4 shencan 
4 shencan 


#tree |——— base | 


-一 一 templates 


tasks 


staff 275 9 4 23:45 site.yaml 
staff 136 9 5 00:13 zabbix-agent 
staff 136 9 4 22:41 zabbix-proxy 
staff 136 9 4 23:28 zabbix-server 
(—— files | | |—— REM-GPG-KEY-EPEL-6 | 


L— — main.yaml 


L— — zabbix server.conf 
14 directories, 15 files 


|—— REM-GPG-KEY-ZABBIX | 


|I—— epel.repo | 


[一 一 zabbix.repo | 


|—— tasks 


最 后 来 看 看 roles 入 口 文件 site.yaml: 
- hosts: all 
gather facts: False 
roles: 
- ( role: base, tags: base] 
{ role: zabbix-server, when: "'zabbix-server' in group names", tags: server] 
{ role: zabbix-proxy, when: "'zabbix-proxy' in group names", 


tags: proxy } 


{ role: 


zabbix-agent, tags: agent] 
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所 有 的 roles 文 件 编写 好 之 后 ， 我 们 只 需要 运行 以 下 命令 一 键 完成 zabbix-server、zabbix-prpxy、zabbix-agent 的 安装 与 部 署 ， 也 可 以 通过 制定 tags 来 选择 部 署 : 


安装 部 署 


ansible-playbook -i hosts site.yaml 
ansible-playbook -i hosts site.yaml --tags base 


由 于 输出 结果 比较 多 ， 这 里 就 不 展示 输出 结果 信息 。 接 下 来 我 们 就 通过 Zabbix UI 去 继续 完成 Zabbix 的 安装 部 署 ， 通 过 浏览 器 访问 http://192.168.1.100/zabbix， 如 图 9-1 所 示 ， 按 照相 应 步骤 继续 即 


ZABBIX | 


图 9-1 Zabbix 的 安装 部 署 


进入 数据 库 后 ，Zabbix 数 据 库 是 zabbix_master， 用 户 名 是 zabbix， 密 码 是 master， 如 图 9-2 所 示 。 


192.168.1100 È 


ZABBIX | 


3. Configure DB connection 


Please create database manually, and set the configuration parameters for connection ro mis database. 


Press "Test connecton” button when dane. 
Database type MySQL n 
Databasc host 
Database port 
Database name 
User 


OK 
Test connection 


图 9-2 设置 数据 库 


点 击 Finish 完 成 安装 ， 如 图 9-3 所 示 。 


192.168.1.100 È 


ZABBIX Es 


6. Install 


Configuration fiie 
"jexc/zabbix/ web/zaboix. contoh p" 
crested: OK 


Congratulatins on successful Installation of Zablyx frontend. 


6. Install! 


When done, press the “Fin sh* button 


使 用 用 户 名 Admin 密 码 zabbix 即 可 进入 监控 首页 。 


到 此 为 止 ， 我 们 的 Zabbix 服 务 端 已 经 安装 配置 完毕 了 。 关 了 
playbook 即 可 。 关 于 Zabbix 客 户 端 主机 的 添加 ， 
处 理 ，Ansible 只 负责 Zabbix 客 户 端 的 安装 部 署 配置 即 可 。 更 多 Zabbix 的 功能 可 以 参考 Zabbix 


信息 添加 到 zabbix-agent 组 ， 然 后 运行 ansible- 
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本 章 主要 介绍 如 何 使 用 Ansible 去 快速 部 署 Zabbix 监 控 系 


图 9-3 完成 安装 


统 。 部 署 Zabbix 监 控 系 统 也 是 本 书 的 第 一 个 实际 应 用 案例 ， 


Fproxy 节 点 的 添加 ， 只 需 通 过 Zabbix UI 进行 添加 即 可 ， 在 实 
在 日 常生 产 环境 中 建议 使 
官网 。 


通过 这 个 案例 记 


际 的 工作 中 我 们 会 使 


Ansible 部 署 大 量 的 Zabbix 客 户 端 程序 ， 所 以 只 需 将 主机 


Zabbix API| 或 者 基于 host-metadata 来 进行 主机 自动 注册 和 模板 绑 定 方式 进行 


读者 会 发 现 Ansible 自 身 管理 配置 功能 非常 强大 而 且 也 很 容易 上 手 ， 正 是 因 


为 Ansible 有 这 些 特性 使 得 越 来 越 多 的 企业 都 引入 Ansible 作 为 配置 管理 工具 。 在 实际 的 工作 中 也 会 经 常 遇 到 需要 部 署 一 整套 跨 机 器 的 集群 环境 ， 下 一 章 将 会 介绍 如 何 使 用 Ansible 一 键 部 署 一 个 LAMP 集 群 环境 。 


第 10 章 ”部署 HAProxy+LAMP 架 构 


通过 上 一 章 介 绍 部 署 Zabbix 案 例 之 后 ， 我 们 发 现 其 实在 使 用 Ansible 做 配置 管理 工作 的 时 候 ， 


们 继续 通过 Ansible 部 署 一 套 HAProxy+LAMP 架 构 ， 这 个 架构 也 是 我 们 日 常 运 维 过 程 中 经 常 遇 到 的 一 个 架构 ， 熟 悉 了 一 个 架构 的 部 署 之 后 ， 可 以 非 


10.1 了 解 整体 架构 流程 


难点 不 是 如 何 编写 playbook ， 而 是 需要 对 整个 架构 的 了 解 ， 是 希望 使 用 Ansible 去 实现 什么 样子 的 架构 。 本 章 我 


常 容易 地 使 用 Ansible 去 扩展 它 。 


首先 我 们 知道 需要 什么 样子 的 架构 ， 然 后 我 们 还 要 了 解 整个 架构 每 个 组 件 之 间 是 如 何 衔接 和 交互 的 ， 当 然 我 们 还 要 清楚 架构 中 每 个 组 件 的 原理 和 流程 。 下 面 我 们 来 了 解 HAPorxy 和 LAMP 集 群 架构 相关 


的 知识 。 


HAProxy 是 一 款 性 能 卓越 的 提供 高 可 用 性 、 


LAMP 架 构 也 是 我 们 每 个 运 维 人 员 熟 知 的 一 种 网 站 架构 ， 


一 个 庞大 的 Web 集 群 系统 。 


真正 的 企业 级 应 用 中 ， 
程 : 


1) HAProxy 代 理 以 及 负载 均衡 Apache We 


负载 均衡 以 及 基于 TCP 和 HTTP 应 用 的 代理 软件 ， 目 前 很 多 大 公司 也 在 使 用 


b。 


2) Apache+PHP 实 现 PHP 网 站 的 Web 功 能 。 


3) PHP 代 码 连 接 MySQl 数 据 库 。 


下 面 ， 我 们 来 规划 部 署 环境 的 主机 信息 ， 
主机 名 

8199023898214 

dcbc6f0c8689 

74596d26bd20 

b409dbc12334 


10.2 编写 业务 roles 


确定 以 及 规范 好 主机 信息 后 ， 我 们 就 可 以 开始 编写 Ansible playbook 了 。 为 了 更 好 地 管理 以 及 后 续 的 维护 ， 这 里 跟 上 一 章 一 样 继续 以 设备 角色 为 和 


ip 地 址 
172.17.0.1 
172.17.0.2 
172.17.0.3 
172.17.0.4 


是 Linux Apache MySQL 以 及 3P (PHP Perl Python) 语言 


由 于 主机 有 限 ， 这 里 只 部 署 了 一 台 haprxoy 主 机 。 当 然 大 家 可 以 结合 keepalived 给 haproxy 做 高 可 


做 Web 集 群 和 cache 集 群 的 负载 均衡 以 及 代理 。 


的 首 字 母 简称 ， 这 种 网 站 架构 很 容易 实现 跨 主机 的 横向 与 纵向 扩展 ， 


一 般 会 在 Web 集 群 系统 前 面 加 一 层 负载 均衡 系统 (HAProxy 或 者 Nginx 或 者 LVS) ， 所 以 HAProxy 和 LAMP 集 群 架构 可 以 无 颖 结合 ， 下 面 来 了 解 HAProxy+LAMP 整 体 的 数据 流 


roles, 分 别 是 初始 化 base 角 色 、mysql 角 色 、haproxy 角 色 以 及 apache 和 角色 。 


下 面 我 们 来 分 别 介绍 每 个 roles 的 playbook 以 及 相关 变量 和 配置 模板 。 首 先 我 们 来 看 初始 化 base 角 色 的 tasks 相 关内 容 : 


可 快速 组 建 


部 署 ， 在 此 就 不 进行 相关 介绍 了 。 


角色 
haproxy 
mysql-server 
apache php 
apache php 


位 编写 不 同 的 roles。 我 们 有 4 个 设备 角色 然后 创建 5 个 


- copy: src-CentOS-Base.repo dest-/etc/yum.repos.d/CentOS-Base.repo owner-root group-root mode-644 
- copy: srceepel.repo dest-/etc/yum.repos.d/epel.repo owner-root group-root mode-644 


接 下 来 我 们 再 来 看 mysq| 角 色 中 的 tasks: 


因为 base 角 色 是 做 主机 基础 环境 相关 的 配置 ， 所 以 采 


copy 模 块 静态 管理 了 两 个 yum 源 的 配置 文件 。 读 者 可 以 根据 


己 主机 的 情况 添加 其 他 的 配置 管理 tasks。 


- name: Install Mysql-server 


yum: name-(( item }} state-installed 


with items: 
- mysql-server 
- MySQL-python 
- name: Copy my.cnf 
template: srcemy.cnf.j2 dest-/etc/my.cnf 
notify: 
- restart mysql 
- name: Start Mysql 
Service: name-mysqld state-started enabled-yes 
- name: Create Database 
mysql db: name-(( database }} state-present 
- name: Create Users 
mysql user: name={{ user }} password-(( password }} priv-*.*:ALL 
host-'$' state-present 


第 一 个 task 是 引用 yum 模 块 安装 MySQL 服 务 端 相关 的 包 ， 需 要 注意 的 是 我 这 里 引用 了 Ansible 自 带 的 两 个 MySQL 相 关 的 模块 ， 所 以 前 面 需要 安装 MySQL-python 包 。 


第 二 个 task 是 采用 Jinja2 模 板 的 方式 生成 MySQL 配 置 文件 my.conf。 


第 三 个 task 是 采用 Ansible 自 带 的 mysql_db 模 块 进行 MySQL 数 据 库 的 创建 。 


第 四 个 task 是 采用 Ansible 自 带 的 mysql_user 模 块 进行 添加 MySQL 用 户 以 及 授权 。 


接着 我 们 再 来 看 haprxoy 角 色 的 tasks: 


- name: Install haproxy 
yum: name-(( item }} state-present 
with items: 
- haproxy 
- name: Copy harpoxy.cf 
template: src-haproxy.cfg.j2 dest-/etc/haproxy/haproxy.cfg owner- 
root group-root mode-644 
notify: 
- restart haproxy 
- name: Start haproxy 
service: name-haproxy state-started enabled-yes 


第 一 个 task 是 引用 yum 模 块 进行 haproxy 包 的 安装 。 


第 二 个 task 是 引用 template 模 块 进行 动态 管理 haproxy.cfg 文 件 ， 并 且 触 发 handlers。 


第 三 个 task 是 引用 service 模 块 进行 haproxy 服 务 的 管理 (运行 和 开机 启动 ) 


最 后 我 们 来 看 一 下 apache 角色 的 tasks: 


- name: Install Apache and PHP 
yum: name-(( item }} state-present 
with items: 
- httpd 
- php 
- php-mysql 
- libsemanage-python 
- libselinux-python 
- name: Copy index.php.j2 
template: src-index.php.j2 dest-/var/www/html/index.php 
- name: http service state 
service: name-httpd state-started enabled-yes 


因为 这 里 规划 的 是 Apache 和 PHP 跑 在 同一 台 设备 上 ， 所 以 第 一 个 task 引 用 yum 模 块 进行 Apache 和 PHP 相 关 的 安装 。 第 二 个 tasks 是 引用 template 模 块 进行 生成 一 个 PHP 的 HTML 测 试 页 面 。 第 三 个 
tasks 是 引用 service 模 块 确保 Apache 服 务 是 运行 的 。 


以 上 几 个 roles 的 tasks 相 对 还 是 比较 简单 的 ， 因 为 我 们 在 上 面 的 tasks 过 程 中 采用 了 template 模 板 进行 动态 生成 文件 ， 所 以 我 们 需要 了 解 相关 的 变量 定义 以 及 配置 模板 的 变量 引用 。 


首先 我 们 来 看 Inventory 文 件 : 


[apache] 
172.17.0.3 
172.17.0.4 
[mysql] 
172.17.0.2 
[haproxy] 
172.17.0.1 


这 里 分 为 三 个 业务 角色 组 ， 每 台 主机 属于 不 同 的 业务 角色 组 ， 下 面 我 们 再 来 看 变量 定义 文件 : 


[rootüyottaa LAMP]# 11 group vars/ 总 用 量 12 
-rw-r--r--. 1 root root 29 9 月 12 22:58 all 
-rw-r--r--. l root root 35 9H 12 22:56 haproxy 
-rw-r--r--. 1 root root 71 9H 12 22:55 mysql 


这 里 分 别针 对 所 有 主机 和 主机 组 进行 了 相关 变量 的 定义 ， 如 下 所 示 : 


[rootéyottaa LAMP]# cat group vars/all 
ansible ssh pass: 123456 

[rootéyottaa LAMP]# cat group vars/haproxy 
mode: http 
balance: roundrobin 

[rootéyottaa LAMP]# cat group vars/mysql 


mysql port: 3306 
user: ansible 

password: ansible 
database: ansible 


所 定义 的 变量 会 在 不 同 的 roles 模 板 中 进行 引用 。 下 面 我 们 主要 来 看 一 人 apache 测试 页 面 和 haproxy 配 置 文件 的 模板 内 容 。 首 先 看 haproxy.cfj2 文 件 的 内 容 : 


global 
log 127.0.0.1 local2 
chroot /var/lib/haproxy 
pidfile /var/run/haproxy.pid 
maxconn 4000 
user root 


group root 


daemon 
global 
maxconn 100000 
daemon 
nbproc 1 
log 127.0.0.1 local3 info 
defaults 
option http-keep-alive 
maxconn 100000 
mode {{ mode }} 
option httplog 
option dontlognull 
option http-server-close 
option redispatch 
retries 3 
timeout connect 5s 
timeout client 20s 
timeout server 10s 
frontend ansible 
bind {{ ansible default ipv4.address }}:80 
mode {{ mode }} 
log global 
default backend apache 
backend apache 
option httpchk HEAD / HTTP/1.0 
balance {{ balance }} 
($ for host in groups['apache'] $) 
server {{ hostvars[host].ansible hostname }} {{ hostvars[host].ansible default ipv4.address }}:80 check inter 3000 rise 3 fall 2 
% endfor $) 


我 们 这 里 主要 关心 jinja2 相 关 的 配置 ， 在 HAProxy 的 apache backend 中 会 把 Inventory 中 apache 组 中 的 主机 都 会 当 作 HAProxy 的 后 端 代理 主机 。 


最 后 我 们 来 看 一 下 Apache 和 PHP 的 测试 页 面 模板 : 


«?php 
echo "Show Databases List:\n "7 
($ for host in groups['mysql'] $) 
$link = mysqli_connect ('{{ hostvars[host].ansible default ipv4.address }}', '{{ hostvars[host].user }}', '{{ hostvars[host].password }}') or die(mysqli connect error ($link) 
{3 endfor $) 
$res = mysqli_query ($link, "show databases; "); 
while ($row = mysqli fetch assoc($res)) { 
echo $row['Database'] . "An"; 
} 


2 


以 上 是 一 个 PHP 页 面 ， 没 有 接触 过 PHP 没 关系 ， 我 们 只 要 关心 模板 相关 的 内 容 ， 这 个 模板 会 通过 Inventory 文 件 中 定义 的 MySQL 主 机 信息 和 group_vars/ 下 定义 的 变量 泻 染 出 PHP 连 接 MySQL 主 机 的 信 
息 ， 最 后 验证 PHP 能 不 能 正常 访问 MySQL 数 据 库 里 面 的 数据 。 


10.3 配置 部 署 以 及 测试 


roles 角 色 都 编写 完成 ， 一 切 准备 工作 就 绪 后 ， 我 们 就 可 以 进行 相关 的 配置 确认 并 进行 配置 部 署 和 测试 工作 了 。 首先 我 们 来 看 当前 工作 目录 结构 : 


[rootüyottaa LAMP]# tree 
- [——— group vars 
16 directories, 16 files 


all| |—— haproxy | mysql | hosts | roles apache | tasks | — —  main.yaml | 


最 后 编写 roles 的 site.yaml 入 口 文件 : 


- name: Init base environment for all hosts 
hosts: all # 所 有 主机 引用 base 角 色 
roles: 

- base 

- name: Install Mysql 
hosts: mysql ”jnmysql 主 机 组 引用 mysql 角 色 
roles: 

- mysql 

- name: Install Apache and PHP 
hosts: apache #apache 主 机 组 引用 apache 角 色 
roles: 

- apache 

- name: Install Haproxy 
hosts: haproxy #haproxYy 主 机 组 引用 haproxy 角 色 
roles: 

- haproxy 


这 里 根据 不 同 的 主机 组 引用 不 同 的 roles 进 行 相 关 的 配置 部 署 。 在 我 们 确认 语法 没 问题 之 后 就 可 以 开始 进行 配置 部 署 了 : 


[root@yottaa LAMP]# ansible-playbook -i hosts site.yaml --syntax-check 
playbook: site.yaml 

[root@yottaa LAMP]# ansible-playbook -i hosts site.yaml 

PLAY [Init base environment for all hosts] +% ededed edee dedede deddi kkk 
GATHERING FACTS XJOkXXXX0kkd doe KO KAK K KAKA KAKA KAKKAR ROO 


ok: [172.17.0.3] 


ok: [172.17.0.1] 

ok: [172.17.0.4] 

ok: [172.17.0.2] 

"i 此 处 省 略 N 行 - -== 

PLAY RECAP Rll ES 
172.17.0.1 : ok-7 changed-0 unreachable-0 failed-0 
172.17.0.2 : ok=9 changed=0 unreachable-0 failed-0 
172;17,053 : Ok=7 changed-0 unreachable-0 failed-0 
172.17.0.4 : Ok=7 changed-0 unreachable-0 failed-0 


确认 一 切 ok 之 后 就 可 以 进行 相关 的 测试 了 。 下 面 我 们 使 用 curl 命 令 直 接 请 求 HAProxy 代 理 服务 器 进行 测试 : 


[root(yottaa LAMP]# curl 172.17.0.1 
LAMP roles Examples: 
Show Databases List: 
information schema 
ansible 
mysql 
test 


可 以 看 到 正常 显示 172.17.0.2 数 据 库 里 面 所 有 的 databases， 说 明 整 个 HAProxy+LAMP 架 构 已 经 服务 正常 ， 同 样 也 说 明 Ansible 的 部 署 也 成 功 了 。 


10.44 扩容 与 维护 


在 实际 的 日 常 维护 工 作 中 难免 会 遇 到 需要 临时 添加 或 者 删除 机 器 。 比 如 上 面 我 们 部 署 的 HAProxy+LAMP 架 构 ， 如 果 哪 天 发 现 Apache 业 务 有 性 能 瓶颈 ， 我 们 需要 快速 扩张 整个 架构 ， 这 个 时 候 我 们 只 需 
然后 运行 playbook 的 时 候 只 需 指定 主机 运行 指定 tags 即 


把 新 添加 的 机 器 添加 到 hosts 文 件 中 相应 的 业务 角色 组 下 即 可 。 比 如 我 们 要 扩容 添加 一 台 Apache 机 器 ， 将 主机 信息 添加 到 hosts 的 Apache 主 机 组 下 
可 。 等 待 Apache 业 务 部 署 完 成 后 ， 只 需 针对 HAProxy 机 器 运行 haproxy tags 即 可 将 新 加 入 的 机 器 加 入 服务 。 当 然 如 果 下 线 服 务 ， 也 可 以 按照 上 面 的 思路 进行 设备 下 线 操作 。 


面 的 章节 我 们 也 了 解 到 Ansible 是 一 个 很 灵活 以 及 功能 强大 的 配置 工具 ， 所 以 这 些 功能 在 Ansible 很 容易 实现 ， 我 们 不 需要 
Ansible 其 实 就 是 把 我 们 心中 的 架构 和 功能 用 Ansible 实 现代 码 


在 我 们 实际 的 工作 中 经 常会 遇 到 这 种 跨 主机 以 及 庞大 集群 的 部 署 需求 ， 通 过 前 
花 太 多 的 时 间 去 寻找 如 何 编写 playbook， 我 们 需要 做 的 是 如 何 去 了 解 整体 架构 和 每 个 组 件 的 原理 以 及 配置 。 从 以 上 内 容 我 们 可 以 看 到 日 常 使 


化 、 状 态 化 而 已 。 


10.5 ”本 章 小 结 


本 章 通过 一 个 简单 案例 介绍 如 何 利用 Ansible 部 署 LAMP 架 构 ， 这 是 Ansible 在 构建 集群 甚至 跨 机 器 部 署 上 面 的 入 门 案 例 。 通 过 本 章 案例 读者 可 以 清晰 地 了 解 到 如 何 用 Ansible 在 配置 部 署 过 程 中 实现 一 个 业务 
逻辑 架构 ， 这 也 是 我 们 在 实际 工作 中 经 常 遇 到 的 。 随 着 公司 业务 的 扩张 ， 会 有 很 多 需要 维护 和 部 署 的 集群 架构 ， 而 这 些 繁 复 的 工作 对 于 Ansible 来 说 易如反掌 。 


第 11 章 ”大 数据 环境 的 应 用 实战 


随 着 云 时 代 的 到 来 ， 大 数据 也 吸引 了 越 来 越 多 的 关注 。 大 数据 不 在 于 掌握 庞大 的 数据 信息 ， 而 在 于 对 这 些 含有 意义 的 数据 进行 专业 化 处 理 ， 即 在 于 提高 对 数据 的 “加 工 能 力 ”， 通 过 “加 工 ” 实 现 数据 
的 “增值 ”。 大 数据 的 价值 体现 在 以 下 方面 : 

: 对 大 量 消费 者 提供 产品 或 服务 的 企业 ， 可 以 利用 大 数据 进行 精准 营销 。 

“ 做 小 而 美 模式 的 中 长 尾 企 业 ， 可 以 利用 大 数据 做 服务 转型 。 


“ 面临 互联 网 压力 之 下 必须 转型 的 传统 企业 ， 需 要 与 时 俱 进 充 分 利用 大 数据 的 价值 。 

大 数据 与 云 计算 就 像 一 枚 硬币 的 正 反 面 一 样 密 不 可 分 。 大 数据 必然 需要 采用 分 布 式 架构 ， 对 海量 数据 进行 分 布 式 数据 挖掘 ， 涌 现 出 了 大 量 创新 、 适 用 于 大 数据 的 技术 ， 包 括 大 规模 并 行 处 理 (MPP) 数 

据 库 、 数 据 挖 据 电网 、 分 布 式 文件 系统 、 分 布 式 数 据 库 、 云 计算 平台 、 互 联网 和 可 扩展 的 存储 系统 等 。 实 时 的 大 型 数据 集 分 析 需 要 像 MapReduce 这 样 的 框架 来 向 数 十 、 数 百 或 甚至 数 千 台 主 机 分 配 任务 ， 并 在 
du 


容忍 时 长 内 有 效 地 处 理 、 输 出 分 析 结果 ， 这 需要 支撑 数据 处 理 的 海量 资源 环境 能 够 高 度 动态 自动 伸缩 调整 。 


对 于 这 种 大 规模 的 应 用 场景 特别 需要 有 自动 化 运 维 支撑 手段 ， 本 章 将 结合 某 运营 商 大 数据 环境 ， 介 绍 如 何 采用 Ansible 进 行 维护 管理 。 


有 些 读者 可 能 已 经 在 使 用 Hadoop 服 务 了 ， 甚 至 也 已 经 做 了 大 量 的 日 常 维护 操作 ， 对 于 这 些 读者 阅读 本 章 仍然 有 助 于 深入 理解 如 何 维护 大 规模 Hadoop 集 群 。 


11.1 某 运 营 商 大 数据 环境 


某 运营 商 拥有 大 量 数据 资源 ， 有 BSS、OSS、MSS 数 据 ， 有 DPI、 信 令 、 位 置 等 网 络 和 网 管 数据 ， 有 电信 增值 业务 、 行 业 和 公众 客户 应 用 数据 ， 有 终端 、 渠 道 、 支 付 和 客服 等 数据 ， 涵 盖 参 与 人 、 产 品 、 
财务 、 市 场 营 销 、 事 件 、 地 域 、 资 源 和 账 务 等 类 数据 。 对 这 几 类 数据 进行 加 工 处 理 、 分 析 挖 握 ， 对 数据 进行 脱 敏 处 理 后 ， 构 建 数 据 应 用 和 产品 ， 形 成 有 价值 的 信息 增值 。 对 运营 商 内 部 提供 面向 企业 内 部 的 
客户 行为 和 消费 特征 的 分 析 挖 气 ， 实 现 精确 营销 、 精 准 维系 、 效 益 评价 等 数据 应 用 业务 需求 ， 对 合作 伙伴 通过 数据 出 售 、 数 据 咨询 、 数 据 能 力 和 数据 解决 方案 四 种 业务 形态 实现 数据 资产 的 数据 运营 ， 最 终 


实现 数据 资产 的 增值 。 


因此 统一 建设 大 数据 能 力 产品 与 应 用 平台 ， 支 持平 台 、 数 据 对 外 开放 和 集约 管理 ， 为 运营 商 内 外 提供 大 数据 服务 能 力 和 大 数据 应 用 ， 提 供 统一 能 力 开发 接口 、 数 据 产品 服务 能 力 封装 、 数 据 平台 能 力 封 


装 、 资 源 管 理 、 平 台 管控 等 服务 ， 提 供 RTB、 精 准 营销 、 保 险 反 欺 诈 、 选 址 分 析 等 大 数据 产品 应 用 。 内 容 主要 包括 : 


“ 数据 仓储 和 分 析 能 力 : 包括 基础 数据 导入 、 数 据 访问 、 数 据 处 理 的 能 力 ， 数 据 采 集 和 汇总 ， 网 络 疏 由 和 规则 库 管 理 。 


“ 数据 服务 能 力 组 件 封装 : 基于 大 数据 基础 数据 分 析 能 力 ， 针 对 不 同业 务 产 品 特点 封装 形成 数据 服务 能 力 组 件 ， 包 括 关 键 词 分 析 组 件 、 客 户 识别 组 件 、 标 签 产品 组 件 、 行 为 分 析 组 件 等 。 


: 服务 能 力 统一 开放 : 在 数据 服务 能 力 组 件 基础 上 ， 对 外 提供 服务 能 力 开放 ， 并 对 服务 过 程 进行 统一 管理 ， 包 括 接 入 与 签 权 、 服 务 控制 、 安 全 管理 等 。 
“ 数据 管控 : 包括 数据 质量 管理 、 数 据 规则 管理 、 元 数据 管理 等 。 


“ 平台 管控 与 系统 管理 : 对 基础 计算 /存储 资源 管理 、 服 务 能 力 管理 、 任 务 和 进程 调度 管理 、 安 全 管理 、 系 统管 理 等 。 


区 (结构 化 、 


区 ， 包 括 数据 接 入 区 (FTP 服务 ) 、 数 据 汇聚 总 线 (Kafka, FTP) 、 数 据 生 产 加 工区 (数据 存储 、 计 算 、 封 装 ) 、 数 据 分 析 
堡垒 审计 ) ， 如 图 11-1 所 示 。 


根据 业务 需求 对 整个 大 数据 能 力 平台 进行 设计 ， 共 分 8 大 功能 
非 结构 化 数据 ) 、 预 上 线 测试 区 (中 间 过 程 ) 、 服 务 门 户 区 (产品 服务 、 管 理 服务 、 数 据 接口 ) 、 运 维 服务 区 〈 运 维 管理 、ETL 服 务 、 集 群 应 用 客户 端 、 


服务 门户 区 


数据 汇聚 总 线 (Kafka+FTP 文件 总 线 ) 


D 
i 数据 接 人 ETL 集群 (Hadoop) 预 处 理 集群 
人 


代 | ”FIP 接 入 服务 集群 (FTP-OVER-HDFS) (Flume) 


图 11-1 某 运营 商 大 数据 8 大 功能 区 


整个 大 数据 平台 系统 涵盖 了 数据 采集 、 导 入 和 预 处 理 、 统 计 和 分 析 、 数 据 展现 一 系列 过 程 。Hadoop 已 经 是 对 大 数据 集 进 行 分 布 式 计算 的 标准 工具 ， 具 有 完整 、 充 满 活力 的 开源 生态 环境 。 构 建 整个 大 
数据 环境 涉及 部 署 Hadoop 集 群 、HBase、Hive、MySQL、Nginx、Redis、Kafka、Flume、Zookeeper、Storm、Ganglia 等 软件 。 


下 面 将 详细 讲解 如 何 用 Ansible 准 备 Hadoop 集 群 基 础 环境 、 集 群 软件 部 署 配 置 等 。 


11.2 ”准备 大 数据 集群 环境 


目前 在 国内 主流 的 Hadoop 有 Apache Hadoop (最 原始 的 、 所 有 发 行 版 均 基于 这 个 版 本 进行 改进 ) 、Cloudera CDH (Cloudera' s Distribution Hadoop) 、Hortonworks HDP (Hortonworks 
Data Platform) 。 对 于 初学 者 或 小 规模 应 用 大 多 选择 CDH 版 本 ， 与 Apache 发 行 版 本 相 比 ，CDH 具 有 如 下 优点 : 


1) CDH 对 比 Hadoop 版 本 的 划分 非常 清晰 ， 当 前 主要 有 CDH4、CDH5， 分 别 对 应 原生 Hadoop 2.0, Hadoop 2.3。 原 生 的 Apache Hadoop 版 本 则 比较 混乱 ， 在 兼容 性 、 安 全 性 、 稳 定性 上 也 需要 大 
量 额 外 的 增强 。 


2) 当前 CDH5 版 本 是 基于 Apache Hadoop 2.3 改 进 的 ， 融 入 了 最 新 的 软件 补丁 ，CDH 总 能 及 时 跟 进 最 新 的 Bug 补 丁 、 新 功能 组 件 ， 比 Apache Hadoop 同 功能 版 本 提早 发 布 ， 更 新 也 较 快 。 


3) CDH 增 强 了 安全 认证 ， 支 持 Kerberos，Apache Hadoop 只 是 使 用 用 户 名 匹配 认证 。 


4) 特别 是 CDH 支 持 Yum/Apt 包 、Tar 包 等 多 种 安装 方式 。 适 用 于 各 种 操作 系统 ， 建 议 直 接 用 Yum/Apt 安 装 ， 能 够 自动 匹配 安装 版 本 、 下 载 安装 依赖 软件 ， 升 级 非常 方便 。 


下 面 将 详细 介绍 基于 CDH5 的 Ansible 自 动 化 部 署 过程 ， 包 括 操作 系统 基础 环境 、Hadoop 基 础 环境 、Hadoop 集 群 部 署 的 详细 过 程 。 


硬件 环境 如 表 11-1 所 示 。 


表 11-1 硬件 环境 


ED zs 
1 172.16.1.220 Ansible, Client 


Primary NameNode 


软件 环境 如 表 11-2 所 示 。 


表 11-2 软件 环境 


序号 说 明 


1 6.5x64 | 国内 网 站 或 www.centos.org 

2 http://archive.cloudera.com/cdh5/cdh/5/hadoop-2.6.0-cdh5.4.7.tar.gz 
3 DK — | Java | 1790 80| www.oracle.com 官网 下 载 

5 CentOS6.5 自 带 


参照 Ansible 最 佳 实践 建议 ， 整 个 配置 管理 主要 包含 在 以 下 3 个 目录 : 

- group vars: 全 局 定义 的 变量 参数 。 

“ playbooks: 下 面 又 分 为 : conf (环境 配置 ) 、operation (日 常 维护 ) 两 个 目录 的 脚本 。 

“ roles: 包含 各 个 服务 的 角色 ， 每 个 角色 一 般 包 含 defaults、vars、 凶 es、tasks、handlers 等 目录 。 
playbooks 文 件 见 表 11-3。 


表 11-3 Playbooks 文 件 说 明 


playbooks 文件 VERA 
hosts 资源 清单 文件 ， 包 含 一 系列 主机 组 
ansible cobbler.yml 创建 网 络 安装 操作 的 kickstarts 服务 


ansible downloads. yml 软件 下 载 脚本 


; HadoopLinux 环境 初始 化 准备 脚本 ， 包 括 创建 账号 、 无 口令 密 钥 登录 、 修 改 内 核 参 数 、 
ansible prepare.yml 


修改 文件 句柄 等 
ansible hadoop.yml 完整 的 安装 CDHS 的 安装 部 署 脚本 
ansible post.yml 安装 完成 CDH5 之 后 的 后 续 初 始 化 Hadoop 脚本 ， 调 用 下 面 的 post install setups 角色 
目录 说 明 如 表 11-4 所 示 。 
表 11-4 目录 说 明 
目录 说 明 


存放 CDH 源码 安装 软件 包 hadoop-2.6.0-cdh5.4 7 tar gz, 
jdk-7u80-linux-x64 tar.gz 
该 目录 下 包含 定义 Hadoop 环境 设置 的 全 局 变量 的 文件 al，all 中 定义 了 安装 目 


file archives 


group vars 录 、hadoop HP, storm 用 户 、 软 件 版 本 、dhfs 3X, yam $3, map reduce 参数、 
java home 目录 等 参数 
roles 该 目录 下 包含 各 个 role 的 功能 组 件 
负责 定义 、 处 理 Linux 操作 系统 的 基本 参数 
commons ws : 
部 署 cobbler 服务 ， 支 持 网 络 安装 操作 系统 
cobbler - 
jdk JDK 安装 部 署 
ssh known hosts 处 理 SSH 第 一 次 登录 时 ， 提 示 加 入 known. host 
ssh password less 配置 ssh 无 密码 ` EH 登录 方式 
cdh5 commons 安装 、 配 置 操作 系统 基本 环境 
cdh5 namenode primary 安装 、 部 署 Hadoop 的 NameNode 主 节点 服务 
cdh5 namenode secondary 安装 、 部 署 Hadoop 的 NameNode 辅 节点 服务 
nii ERE 安装 、 部 署 Hadoop 的 资源 管理 节点 服务 


cdh5 datanode 


"n 5 + 9 
BE di 安装 、 部 署 Hadoop 的 DataNode 节点 服务 


创建 Hadoop 用 户 、HDFS 目录 、 修 改 目录 权限 等 


如 果 有 多 个 Hadoop 集 群 环境 ， 如 有 生产 集群 、 测 试 集群 等 ， 可 以 分 别 定义 ， 分 开 管 理 。 也 可 以 定义 多 个 资源 清单 文件 来 表示 各 个 集群 环境 ， 这 样 也 方便 由 ansible-playbook 指 定 不 同 的 集群 环境 进行 
操作 。 


11.3 “部署 Hadoop 集 群 


在 Ansible 自 动 化 管理 中 ， 首 先 需要 分 析 被 管 节点 的 功能 、 需 要 部 署 软件 、 使 用 的 配置 文件 ， 根 据 节点 配置 参数 相同 、 相 似 、 可 继承 等 方式 对 节点 进行 分 组 ， 形 成 Ansible 的 资源 清单 (inventory) ， 再 
由 ansible-playbook 对 这 些 分 组 进行 模板 、 任 务 的 组 织 。 


在 本 实例 中 ， 资 源 清单 直接 在 hosts 文 件 中 定义 ， 该 文件 中 包含 最 顶层 的 sshknown hosts、allnodes 主 机 组 ，sshknownhosts 主 机 组 包含 hadoopcluster 主 机 组 ， 然 后 是 hadoopcluster 包 含 


namenodes、secondarynamenode、resourcemanager、jobhistoryserver、datanodes 等 主机 组 。 


下 面 是 hosts 文 件 清单 : 
# 需要 初始 化 Linux 环 境 的 所 有 节点 
[allnodes] 
172.16.1.220 host name-ah-ansible 
172.16.1.221 host name-ah-namenode 
172.16.1.222 host name-ah-secondary-namenode 
172.16.1.223 host name-ah-resourcemanager 
172.16.1.224 host name-ah-datanode-01 
172.16.1.225 host name-ah-datanode-02 

1 


172.16.1.226 host name-ah-datanode-03 
172.16.1.227 host name-ah-datanode-04 
# hadoop cluster ~ 
namenodes] 

172.16.1.221 
secondarynamenode] 
172.16.1.222 
resourcemanager] 
172.16.1.223 
jobhistoryserver] 
172.16.1.223 

datanodes] 

172.16.1.224 
172.16.1.225 
172.16.1.226 
172.16.1.227 
hadoopcluster:children] 
namenodes 
secondarynamenode 
resourcemanager 
jobhistoryserver 
datanodes 

# sshknown hosts list. 
[sshknownhosts: children] 
hadoopcluster 


在 编写 Ansible 自 动 化 脚本 时 ， 通 常 把 playbook 脚 本 封装 成 角色 (role) ， 便 于 管理 、 重 用 。 在 本 例 中 我 们 把 Hadoop 部 署 的 playbook 脚 本 封装 成 多 个 角色 ， 然 后 通过 ansible_hadoop.yml 将 调 有 
ssh password less、cdh5_commons 角 色 ， 初 始 化 hadoopcluster 集 群 所 有 节点 。 然 后 再 对 namenodes、secondarynamenode、resourcemanager、datanodes 主 机 组 分 别 再 调 上 


cdh5 namenode active, cdh5 namenode secondary, cdh5 resourcemgr. cdh5 _datanode 角 色 进 行 部 署 。 


部 署 Hadoop 的 playbook 脚 本 ansible_hadoop.ym| 将 用 root 在 hadoopcluster 范 围 内 部 署 ， 首 先 调 用 cdh5_commons 和 角色 对 所 有 主机 Linux 进 行 初始 化 ， 然 后 对 : 


他 不 同 功 能 的 主机 组 进行 分 别 部 署 : 


ansible hadoop.yml 
- hosts: hadoopcluster 
remote user: root 
roles: 
- ssh password less 
- cdh5 commons 
- hosts: namenodes 
remote user: root 
roles: 
- cdh5 namenode active 
- hosts: secondarynamenode 
remote user: root 
roles: 
- cdh5 namenode secondary 
- hosts: resourcemanager 
remote user: root 
roles: 
- cdh5 resourcemgr 
- hosts: datanodes 
remote user: root 
roles: 
- cdh5 datanode 


下 面 将 对 每 个 角色 的 部 署 内 容 进行 讲述 。 


114 部 署 后 Hadoop 初 始 化 与 验证 


Hadoop 系 统 部 署 完 成 后 需要 对 Hadoop 集 群 DHFS 进 行 初始 化 ， 同 时 运 维 也 需要 了 解 Hadoop 运 行 状态 ， 可 以 从 Web 界 面 和 命令 行 方式 分 别 了 解 Hadoop 集 群 的 使 用 情况 。 


11.5 ”本 章 小 结 


本 章 从 大 数据 需求 入 手 ， 介 绍 如 何 使 用 Ansible 自 动 化 工具 部 署 基 于 CDH5 的 Hadoop 环 境 。 从 操作 系统 安装 、 操 作 系 统 初始 化 、 部 署 Hadoop 软 件 ， 到 最 后 验证 部 署 系统 的 完整 过 程 。 按 照 每 个 功能 一 个 角 
色 的 方式 进行 设计 ， 展 现 一 个 完整 的 、 复 杂 的 系统 如 何 进行 自动 化 的 工作 ， 可 以 借鉴 本 章 的 内 容 快 速 在 生产 环境 中 使 用 。 


第 12 章 Ansible 管 理 Windows 系 统 


Windows Server 经 过 20 多 年 的 发 展 ， 无 论 是 通过 搭建 私有 云 平台 向 企业 内 部 提供 服务 ， 还 是 将 业务 安全 地 连接 到 公有 云 平台 ， 已 经 完全 能 够 满足 企业 的 业务 与 IT 的 挑战 。Windows Server 融 合 了 微软 构建 
和 运营 公有 云 的 丰富 经 验 ， 作 为 云 计算 的 新 一 代 的 IT 平台 ， 为 企业 和 托管 服务 提供 商 提供 了 可 扩展 、 动 态 、 多 租户 感知 的 服务 器 和 云 基础 架构 ， 实 现 了 安全 的 跨 地 域 连 接 ， 并 使 得 IT 系统 和 人 员 能 够 更 快 、 


更 有 效 地 响应 业务 需求 。 为 客户 带 来 了 超越 虚拟 化 、 功 能 强大 管理 简单 、 跨 越 云端 的 应 用 体验 、 现 代 化 灵活 的 工作 方式 四 大 方面 的 价值 。 


Windows 系 统 以 易 用 性 著称 ， 微 软 提 供 了 丰富 的 管理 工具 。 其 中 PowerShell 是 最 适应 大 规模 、 自 动 化 运 维 管理 而 设计 的 一 款 强 大 的 操作 工具 ， 旨 在 改进 命令 行 和 脚本 环境 。PowerShell 以 .NET Framework 7j 
平台 ， 接 收 和 返回 .NET 对 象 ， 此 举 为 管理 和 配置 微软 系统 带 来 了 新 的 方法 和 工具 。PowerShell 的 版 本 随 Windows 的 发 布 而 更 新 ， 从 最 初 2006 开 始 发 布 1.0 版 本 之 后 陆续 发 布 了 2.0、3.0、4.0，PowerShell 5.0 也 即 
将 随 Windows Server 2016 一 起 发 布 。 


另外 ， 微 软 从 Windows Server 2008 开 始 提 供 一 个 全 新 的 Server Core 模 式 ， 它 是 一 个 最 小 限度 的 系统 安装 选项 ， 只 包括 安全 、TCP/IP、 文 件 系 统 、RPC 等 服务 器 核心 子 系统 。 在 Server Core 仅 有 非常 少 的 
GUI， 可 以 安装 DNS、DHCP、 文 件 服务 、 活 动 目录 、ADLDS (轻型 目录 服务 ) 、 打 印 、 媒 体 、Web 这 几 种 服务 器 角 。Server Core 模 式 大 大 简化 了 维护 管理 、 减 少 了 安全 攻击 接触 面 、 提 高 可 用 性 、 降 低 磁盘 
空间 占用 、 较 少 的 补丁 安装 ， 这 是 更 加 体现 了 PowerShell 功 能 的 强大 和 使 用 的 便捷 。 


Ansible 从 1.7 版 本 开始 支持 对 Windows 管 理 ， 并 将 在 2.0 版 本 中 支持 的 管理 功能 得 到 大 幅度 增强 。 本 章 将 专门 介绍 如 何 使 用 Ansible 及 其 模块 ， 通 过 PowetShell 来 管理 Windows 系 统 ， 实 现 对 Windows 的 自动 化 


运 维 管理 。 主 要 介绍 : 
- 用 Ansible 管 理 Windows 的 基本 原理 
- 搭建 Ansible 管 理 Windows 的 基础 环境 
- 管理 Windows 的 支持 模块 


- 常用 Windows 管 理 实例 


12.1 Ansible 管 理 Windows 工 作 原 理 


如 前 所 述 ，Ansible 默 认 是 通过 SSH 方 式 管理 Linux/UNIX 被 管 主机 。 但 Ansible 控 制 主机 与 被 管 主机 之 间 的 通信 不 再 是 SSH 了 ， 而 是 通过 远程 方式 执行 Windows 内 生 PowerShell 实 现 的 。Ansible 管 理 远 
程 主机 还 是 继承 管理 Linux/UNIX 系 统 时 不 需要 代理 端的 特点 ， 不 需要 在 远程 被 管 主机 上 安装 额外 软件 。Ansible 的 控制 主机 还 是 需要 运行 在 Linux 上 ， 使 用 “WinRM” 这 个 Python 模块 与 远程 Windows 主 机 
ZE. 


WinRM ( 即 Windows 远 程 管理 ) 是 WS-Management 协 议 的 Microsoft 实 现 ， 该 协议 基于 简单 对 象 访问 协议 (SOAP) 的 、 防 火 墙 友 好 的 标准 协议 ， 使 来 自 不 同 供应 商 的 硬件 和 操作 系统 能 够 互 操作 。 
Ws-Management 协 议 由 硬件 和 软件 制造 商 群体 开发 ， 作 为 一 种 公共 标准 ， 可 用 于 与 实现 该 协议 的 任何 计算 机 设备 远程 交换 管理 数据 。 


WinRM 则 在 改进 网 络 环境 中 的 硬件 管理 ， 这 种 环境 包含 许多 运行 各 种 操作 系统 的 设备 。 该 服务 的 整体 设计 侧重 于 通过 实现 可 互 操作 的 标准 协议 来 监视 和 管理 远程 计算 机 。WinRM 监 听 在 5985/5986 端 
， 该 端口 系统 默认 是 关闭 的 ， 但 是 有 些 系统 管理 员 为 了 便于 他 们 对 服务 器 进行 远程 管理 ， 会 将 这 个 端口 开启 。 具 体 的 管理 过 程 如 图 12-1 所 示 。 


当 我 们 启用 了 WinRM 时 ， 你 可 以 使 用 PowerSshell 对 服务 器 进行 远程 查询 和 控制 。 当 然 ， 如 果 你 觉得 自己 很 有 把 握 ， 也 可 以 自行 开启 WinRM。 下 面 就 是 通过 PowerShelll 指 令 来 开启 WinRM 服 务 : 


Playbook 包含 : 

- 节点 角色 

- Windows 节点 详细 信息 
- PowerShell 脚本 


PowerShell 
脚本 执行 


PowerShell 


Ansible Ansible 节点 
控制 主机 SSH 被 管 节点 


图 12-1 Ansible 管 理 Windows 的 工作 原理 


powershell Enable-PSRemoting -Force 


然后 你 就 可 以 看 到 输出 结果 如 图 12-2 所 示 。 


Mindous PowerShell 
Copyright CC) 2889 Microsoft Corporation. A11 rights reserved. 


PS C:*Users*Administrator? Enable-PSRemoting -Force 


VinR already is set up to receive requests on this nachine. 
UinRM has been aree for remote nanagement. 


Created a WinRM listener on HTTP “nm to accept WS-Man requests to any IP on this machine. 
inRM firewall exception enabled. 


PS C:*UsersMdministrator? . 


H12-2 ”输出 结果 


WinRM 要 求 操作 人 员 的 身份 必须 是 受 目标 系统 信任 的 。 你 可 能 需要 一 个 域名 使 用 者 的 令 牌 ， 这 个 令 牌 可 以 证 明 你 是 目标 主机 系统 的 本 地 管理 员 。 你 可 以 去 偷 一 个 令 牌 ， 或 者 使 用 Runas 工 具 去 生成 一 个 
令 牌 也 可 以 使 用 Mimikatz 工 具 生 成 一 个 用 于 传递 密码 哈 希 值 的 令 牌 。 


注意 ， 学 习 Anisble 管 理 Windows 主 机 之 前 ， 最 好 能 先 了 解 前 面 介 绍 过 的 playbook 相 关 知识 。 


12.2 搭建 Ansible 管 理工 作 组 Windows 环 境 


对 于 Windows 主 机 工作 环境 可 分 为 工作 组 和 域 两 种 。 工 作 组 (Work Group) 就 是 将 不 同 的 电脑 按 功能 分 别 列 入 不 同 的 组 中 ， 以 方便 管理 。 域 则 是 一 种 管理 边界 ， 用 于 一 组 计算 机 共享 共用 的 安全 数据 
库 ， 域 实际 上 就 是 一 组 服务 器 和 工作 站 的 集合 。 在 日 常 工作 中 ， 需 要 根据 实际 情况 来 确定 是 采用 工作 组 方式 ， 还 是 采用 域 方式 。 


Ansible 控 制 主 机 需要 安装 Pywinrm， 被 管 Windows 主 机 需要 启用 WinRM 服 务 。 下 面 先 介绍 工作 组 环境 下 的 环境 配置 。 


12.3 ”搭建 Ansible 管 理 活动 目录 Windows 环 境 


在 一 般 企 业 中 的 Windows 环 境 通常 是 采用 域 的 方式 部 署 ， 如 果 你 希望 使 用 目录 服务 管理 的 域 账号 连接 (与 远程 本 地 创建 的 本 地 账号 相对 应 ) ， 需 要 在 Ansible 控 制 主 机 上 安装 “python-kerberos” 模 
块 ， 当 然 还 需要 安装 MIT krb5 的 依赖 包 。Ansible 被 管 主机 也 需要 在 目录 服务 中 配置 合适 的 账号 。 下 面 详细 介绍 如 何 部 署 支持 管理 Windows 域 的 环境 。 


1. 安 装 python-kerberos 依 赖 包 


对 于 Ansible 控 制 主机 不 同 的 运行 环境 python-kerberos 依 赖 包 的 安装 方式 也 略 有 差异 ， 如 下 所 示 : 


# Via Yum 

yum -y install python-devel krb5-devel krb5-libs krb5-workstation 
# Via Apt (Ubuntu) 

sudo apt-get install python-dev libkrb5-dev 
4 Via Portage (Gentoo) 

emerge -av app-crypt/mit-krb5 

emerge -av dev-python/setuptools 

# Via pkg (FreeBSD) 

sudo pkg install security/krb5 

# Via OpenCSW (Solaris) 

pkgadd -d http://get.opencsw.org/now 
/opt/csw/bin/pkgutil -U 
/opt/csw/bin/pkgutil -y -i libkrb5 3 

4 Via Pacman (Arch Linux) 

pacman -S krb5 


2. 安 装 python-kerberos 软 件 包 


安装 好 必要 的 依赖 包 后 ， 就 可 以 通过 pip 安 装 python-kerberos 软 件 包 : 


pip install kerberos 


注 : Kerberos 在 OS X 和 许多 发 行 的 Linux 系 统 上 默认 是 已 经 安装 了 ， 如 果 你 的 控制 主机 还 没有 安装 ， 需 要 自己 安装 。 
3. 配 置 Kerberos 


编辑 /etc/krb5.conf， 把 下 面 需要 连接 的 域 相 关 信 息 添 加 上 ， 这 些 配置 是 从 [realms] 开 始 。 


[realms] 


添加 完整 的 域名 、 主 目录 服务 /备用 目录 服务 域 控制 器 名 称 ， 如 下 : 


[realms] 
TEST.ANSIBLE.CN - ( 

kdc = TEST.ANSIBLE.CN 

admin server = TEST.ANSIBLE.CN 
} 


在 [domain_realm] 的 配置 小 节 中 添加 你 需要 访问 的 每 个 域名 信息 ， 如 下 所 示 : 


[domain realm] 
.test.ansible.cn - TEST.ANSIBLE.CN 
test.ansible.cn = TEST.ANSIBLE.CN 


在 这 里 还 可 以 配置 如 默认 域 信息 等 配置 。 


4 测试 Kerberos 连 接 


如 果 已 经 安装 了 krb5-workstation (yum) 或 krb5-user (apt-get) ， 就 可 以 用 下 面 命令 测试 与 域 控 服 务 器 的 授权 连接 是 否 正常 : 


[rootQ(ansiblecontrol ~]# kinit wintesteTEST.ANSIBLE .CN 
Password for wintestQ@TEST.ANSIBLE .CN:< 输 入 该 用 户口 令 > 


注意 ， 域 名 部 分 必须 是 全 称 、 且 是 大 写字 母 。 可 以 用 klist 命 令 查看 你 获取 的 凭证 : 


[root@ansiblecontrol ~]# klist 

Ticket cache: KEYRING:persistent:0:0 

Default principal: wintest8TEST.ANSIBLE.CN 

Valid starting Expires Service principal 

02/01/2016 23:29:55 02/02/2016 09:29:55 krbtgt/TEST.ANSIBLE.CNGTEST.ANSIBLE.CN 
renew until 02/08/2016 23:29:47 

[root(ansiblecontrol ~]# 


5. 解 决 Ketberos 连 接 错 误 


如 果 不 能 连接 Kerberos， 请 按照 下 面 方式 检查 : 


“ 确保 你 域名 的 DNS 逆向 解析 是 正常 的 。 可 以 通过 ping 想 要 控制 的 Windows 主 机 的 主机 名 ， 然 后 在 nslookup 中 查询 该 域名 对 应 的 IP 地 址 ， 这 两 种 情况 需要 返回 一 样 的 名 称 。 如 果 返 回 的 主机 名 与 原来 ping 的 
方式 返回 的 不 同 ， 与 你 负责 活动 目录 的 管理 员 联 系 确保 是 支持 DNS 的 逆向 查询 。 


“ 确保 Ansible 控 制 主机 中 有 一 个 已 经 在 域 控制 器 中 配置 好 的 账号 。 


* 检查 Ansible 控 制 主机 的 时 钟 与 你 域 控制 服务 器 的 时 钟 同步 。Kerberos 对 时 间 很 敏感 ， 微 小 的 时 间 差 异 可 能 产生 ticket 不 被 确认 。 


确保 使 用 的 是 域 中 真实 的 完整 域名 ， 有 时 域名 会 设置 成 别名 ， 可 以 用 下 面 方式 检查 : 


kinit -C wintest8TEST.ANSIBLE.CN 
klist 


如 果 用 klist 返 回 的 域名 与 你 请 求 的 域名 不 一 致 ， 那 你 正在 使 用 的 是 别名 ， 这 样 就 要 修改 krb5.conf 配 置 文件 ， 使 用 完整 的 域名 而 不 是 别名 。 


124 ”支持 管理 Windows 模 块 


Ansible 从 1.7 版 本 (2014 年 8 月 发 行 ) 开始 支持 对 Windows 的 管理 ， 支 持 的 管理 模块 在 经 过 1.9 少 量 增加 之 后 ,今年 2016 年 1 月 份 发 现 的 2.0 版 本 中 极 大 地 增强 了 对 Windows 的 管理 功能 ， 增 加 的 管理 模 
块 超过 之 前 所 有 模块 的 总 和 ， 当 前 官方 发 布 的 Windows 模 块 总 计 已 有 29 个 ， 如 表 12-1 所 示 。 


表 12-1 官方 发 布 的 Windows 模 块 数量 


序号 Ansible 发 行 版 本 发 行 时 间 
| ZTLIE 
3 2016 年 1 月 


这 些 Windows 模 块 大 致 可 以 分 为 运行 环境 管理 、 运 行 服务 管理 、 软 件 包 管理 、 文 件 操作 管理 、11S 配 置 管理 、 安 全 控制 管理 六 大 类 ， 具 体 如 表 12-2 所 示 。 


表 12-2 官方 发 布 的 Windows 模 块 类 别 


模块 名 称 


1 运行 环境 管理 win dotnet ngen, win environment(E), win regedit (E), win ping 


N 
in 

-> 
ti | 
>| 
F 
d 
DR 
M 


EE EN 

| 运行 环境 管理 

win nssm(E), win service, win scheduled task(E) 

3 win chocolatey(E). win feature, win msi, win package(E), win webpicmd(E) 

4 win copy(E). win file, win get url, win lineinfile, win template, win_unzip, win stat 
win is virtualdirectory(E), win 11s webapplication(E), win lts webapppool(E), win is - 

sm | webbinding(E). win 11s website(E) 
6 安全 管理 win acl(E), win firewall rule(E), win group, win user(E), win updates(E) 


Un 
o 
ae 
ME 
ZR 
ni 


ik: 模块 名 称 后 面 括号 中 的 也 表示 该 模块 为 扩展 模块 ， 没 带 标识 的 表示 是 核心 模块 。 
表 12-3 介 绍 这 些 模块 分 别 实现 的 功能 以 及 Ansible 软 件 开始 支持 的 版 本 。 


表 12-3 Windows 模 块 功 能 描述 及 Ansible 支 持 的 版 本 


模块 名 称 模块 类 型 
win acl 20 | (5 
win copy 从 一 台 windows 主机 拷贝 文件 到 远程 主机 上 (E) 
win dotet ngen 
win environment Œ) 
win feature 
win file 
win firewall rule 对 被 管 主机 的 Windows 防火 墙 规则 进行 设置 ; (E 
win get url 对 给 定 的 URL 获取 文件 ; 
win jis virtualdirectory 20 
win iis webapplication 


win iis webapppool 配置 IIS 的 Web nz Hiit ; 
win iis webbinding 配置 IIS 的 Web 站 点 绑 定 信息 
win iis website 配置 IS 的 Web 站 点 2. 


M 
e 


8mimme 


win lineinfile 使 用 正则 表达 式 规则 检查 文件 中 特定 的 行 或 对 改行 的 蔡 换 20 
win msi 43x. H Windows 的 MSI 安装 软件 


win nssm 用 NSSM 配置 、 管 理应 用 服务 (E) 
: 可 以 本 地 或 从 url 下 载 可 以 安装 的 软件 包 进 行 安装 ， 或 印 载 

win package 软件 包 ， 1.7 

win ping Windows 版 本 的 ping 模块 

win regedit UNTE PRENE (E) 


vin scheduled ra E 
win service 
win stat 
win template 
win unzip 对 Windows 节点 上 的 文件 进行 压缩 或 解压 2.0 (E) 
euis E 
vin user 


win webpicmd 使 用 Web 平台 命令 行 安装 软件 包 (E) 


12.5 “常用 Windows 管 理 实例 


Ansible 对 Windows 管 理 的 基本 操作 ， 可 以 用 Ad-hoc 方 式 命令 行 直接 调用 Ansible 模 块 ， 也 可 以 通过 playbook 方 式 进行 操作 。 下 面 介绍 常见 的 Ansible 管 理 Windows 模 块 的 基本 应 用 ， 主 要 包括 防火 墙 
配置 、Windows 角 色 及 特性 安装 、 配 置 | 站点、 网 络 文件 下 载 及 部 署 、Windows 服 务 管理 等 实例 ， 更 多 的 内 容 可 以 参考 Ansible 官 网 的 文档 。 


1. 配 置 Windows 防 火 墙 


在 Windows 防 火 墙 上 打开 smtp 服 务 的 25 端 口 : 


- name: Firewall rule to allow smtp on TCP port 25 
action: win firewall rule 
args: 
name: smtp 
enabled: yes 
State: present 
localport: 25 
action: allow 
protocol: TCP 


2. 安 装 Windows 角 色 和 特性 


通过 Ansibe 安 装 I1S 服 务 。 同 Ad-hoc 命 令 行 安装 方式 如 下 : 


$ ansible -i hosts -m win feature -a "name-Web-Server" all 
$ ansible -i hosts -m win feature -a "name-Web-Server,Web-Common-Http" all 


通过 playbook 方 式 如 下 : 
- name: Install IIS 
hosts: all 
gather facts: false 
tasks: 


- name: Install IIS 
win feature: 
"name: "Web-Server" 
State: present 
restart: yes 
include sub features: yes 
include management tools: yes 


当然 ， 还 可 以 通过 远程 执行 PowerShell 脚 本 实现 : 


4 PS C:NUsersMVAdministrator» Import-Module ServerManager; Get-WindowsFeature 


3. 配 置 IIS Web 站 点 
添加 、 删 除 、 配 置 lIS Web 站 点 。 


获取 已 有 站 点 信息 如 下 所 示 : 


# This return information about an existing host 
$ ansible -i vagrant-inventory -m win iis website -a "name-'Default Web Site'" window 
host | success >> ( 
"changed": false, 
"site": { 
"ApplicationPool": "DefaultAppPool", 
"Bindings": [ 
"*.:80:" 
l]; 
"ID": 1, 
"Name": "Default Web Site", 
"PhysicalPath": "%SystemDrive%\inetpub\wwwroot", 
"State": "Stopped" 


停止 已 有 站 点 服务 如 下 所 示 : 


# This stops an existing site. 
$ ansible -i hosts -m win iis website -a "name-'Default Web Site' state-stopped" host 


添加 新 的 Web 站 点 如 下 所 示 : 


# This creates a new site. 
$ ansible -i hosts -m win iis website -a "name-acme physical path=c:\sites\acme" host 


指定 Web 站 点 日 志 的 存放 位 置 如 下 所 示 : 


# Change logfile . 
$ ansible -i hosts -m win iis website -a "name-acme physical path=c:\sites\acme" host 


用 playbook 方 式 配置 11S 站 点 如 下 所 示 : 


# Playbook example 
- name: Acme IIS site 
win iis website: 
name: "Acme" 
state: started 
port: 80 
ip: 127:0.0.1 
hostname: acme.local 
application pool: "acme" 
physical path: 'c:NsitesVacme' 
parameters: 'logfile.directory:c:NVsitesMogs"' 
register: website 


4. 从 网 络 下 载 部 署 文件 


不 同 的 脚本 方式 下 载 一 个 图 片 ， 保 存在 C: \Users\RandomUsenN 目 录 中 。 


Ad-hoc 命 令 方式 如 下 所 示 : 


$ ansible -i hosts -c winmm -m win get url -a "url-http://www.example.com/ansible.jpg dest-'C:NUsersMAdministratorVansible.jpg'" all 


Playbook 方 式 下 载 如 下 所 示 : 


# Playbook example 
- name: Download ansible.jpg to 'C:\Users\RandomUser\ansible.jpg' 
win get url: 
"url: 'http://www.example.com/ansible.jpg' 
dest: 'C:NUsersWRandomUser ansible.jpg' 


Playbook 方 式 发 生变 化 时 才 下 载 : 


- name: Download ansible.jpg to 'C:NUsersWRandomUser earthrise.jpg' only if modified 
win get url: 
"url: 'http://www. ansible.cn/ansible.jpg' 
dest: 'C:NUsersWRandomUser ansible.jpg' 
force: no 


代理 方式 下 载 : 


- name: Download ansible.jpg to 'C:\Users\RandomUser\ ansible.jpg' through a proxy. 
win get url: 
url: 'http://www. ansible.cn/ansible.jpg' 
dest: 'C:NVUsersWRandomUser ansible.jpg' 
proxy url: 'http://10.0.0.1:8080' 
proxy username: 'username' 
proxy password: 'password' 


通过 playbook 方 式 下 载 一 个 简单 的 HTML， 然 后 部 署 到 IS 上 ， 如 下 所 示 : 


- name: Download simple web site 
hosts: windows 
gather facts: false 
tasks: 
- name: Download simple web site to 'C:MinetpubWwwrootVansible.html"' 
win get url: 
url: 'https://raw.githubusercontent.com/mywebapp/master/index.html"' 
dest: 'C:NinetpubWwwrootNansible.html' 


5. 管 理 Windows 服 务 ， 包 括 启动 、 停 止 


重启 spooler 服 务 如 下 所 示 : 


# Restart a service 
win service: 
"name: spooler 
state: restarted 


设置 spooler 服 务 开机 自 启动 如 下 所 示 : 


# Set service startup mode to auto and ensure it is started 
win service: 
"name: spooler 
start mode: auto 
state: started 


12.6 本章 小 结 


本 章 首先 介绍 了 Ansible 通 过 WinRM 方 式 对 Windows 主 机 的 管理 。 然 后 分 别 讲解 对 Windows 工 作 组 和 域 两 种 管理 方式 下 Ansible 如 何 管理 ， 如 何 部 署 Ansible 控 制 主机 和 被 管 主机 。 之 后 又 归纳 、 总 结 介绍 了 
Anisble 对 Windows 管 理 的 支持 模块 。 最 后 介绍 Ansible 如 何 支持 这 些 Windows 常 用 的 管理 操作 。 


Ansible 对 Windows 从 1.7 开 始 支持 ，Ansible 被 Redhat 收 购 之 后 ， 重 点 增强 了 对 Windows 的 支持 ， 自 从 2.0 版 本 之 后 已 经 较为 全 面 支持 对 Windows 系 统 的 管理 ， 随 着 Ansible 版 本 的 发 展 ， 将 会 更 多 地 支持 管理 
Windows 的 模块 。 同 时 Windows 系 统 本 身 也 将 对 SSH 的 管理 方式 提供 支持 ， 将 来 会 更 完美 地 融合 Ansible 对 Windows 的 管理 。 这 样 ，Ansible 将 成 为 真正 的 跨 平 台 自动 化 运 维 管理 工具 。 


第 13 章 ”网 络 自动 化 管理 的 应 用 实战 


运 维 自动 化 在 企业 IT 部 门 中 是 高 速 增值 的 技术 ， 能 够 同时 自动 化 部 署 、 创 建 、 扩 展 应 用 和 服务 器 ， 很 容易 达到 几 百 台 、 甚 至 上 万 台 的 水 平 ，DevOPs 和 SysOps 显 示 出 了 强大 的 功力 。 但 基础 架构 中 的 网 络 
又 该 如 何 管理 呢 ， 如 何 做 好 NetOps 呢 ? 


本 章 将 带 你 一 起 来 进入 管理 大 量 网 络 设备 的 NetOps。 首 先 回顾 网 络 运 维 管理 方式 的 发 展 历程 ， 然 后 介绍 Ansible 及 其 集成 的 网 络 管理 模块 ， 最 后 介绍 一 些 常用 的 第 三 方 网 络 配置 管理 模块 。 


13.1 网 络 管理 也 自动 化 了 


网 络 的 配置 从 1990 到 2010 近 20 年 时 间 内 没有 发 生 太 大 的 变化 ， 只 是 功能 更 多 时 ， 有 更 多 的 配置 命令 。 但 是 在 最 近 的 五 年 中 ， 数 据 中 心 的 网 络 发 生 了 翻天 覆 地 的 变化 : 核心 连接 速度 从 干 兆 向 10G6、40G 
发 展 ， 连 接 速度 的 高 速 发 展 超过 了 交换 机 的 连接 速度 和 端口 密度 。 但 数据 中 心 网 络 交换 机 的 配置 却 还 是 原来 的 传统 方式 ， 并 没有 因 设备 的 升级 而 变化 ， 如 图 13-1 所 示 。 


要 工具 。 一 些 网 络 设备 供应 商 也 有 开始 提供 基于 Web 的 图 形 界面 配置 和 管理 设备 ， 试 图 可 以 从 单一 的 客户 端 来 处 理 整个 网 络 设置 ， 但 这 样 并 没有 简化 很 多 配置 工 


命令 行 界面 仍 是 核心 网 络 设备 配置 的 重 
作 ， 只 是 把 命令 行 换 成 GUI 界面 而 已 。 


CAT6K-enable NEXUS-enable 
CAT6K#config terminal NEXUS#config teminal 
CAT6K(confing)*interface fastethernet 1/1 NEXUS(config)*interface ethernet 1/1 


CAT6K(config-if)*ip address 1.1.1.1 255.255 255.0 NEXUS(config-if)? no switchport 
CAT6K(config-if)*no shutdown NEXUS(config-if)? ip address 1.1.1.1 255.255.255.0 
CAT6K(config-if)&exit NEXUS(config-if) no shutdown 
CAT6K(config)&router eigrp NEXUS(config-if)? ent 
CAT6K(config-router)&network 1.1.1.0 NEXUS(config)& feature eigrp 
CAT6K.(config-router)&exit ENSUS(config)? router eigrp Test1 
CAT6K(config)&exit NEXUS(config)& interface ethemet 1/1 
CAT6K#copy run start NEXUS(config-if)2 ip router eigrp Test 

NEXUS(config-if)£ no shuidown 

NEXUS(config-if)? end 

NEXUSE copy run start 


13-1 数据 中 心 网 络 交换 机 的 配置 方式 对 比 


许多 企业 的 IT 人 员 还 是 用 手动 配置 的 方式 管理 数 以 生计 的 端口 。 这 看 起 来 似乎 不 是 什么 大 问题 。 当 网 络 工程 师 配置 一 个 网 络 中 的 设备 的 时 候 ， 他 们 还 必须 配置 相应 的 网 络 接口 。 在 大 多 数 情况 下 ， 网 络 
工程 师 配置 好 网 络 之 后 就 用 于 网 络 中 并 没有 什么 问题 ， 但 是 在 虚拟 化 的 现代 化 系统 环境 中 ， 一 台 刀 片 服务 器 看 似 只 有 少数 几 个 网 络 接口 ， 却 承载 着 数 以 百 计 的 虚拟 机 。 


然而 问题 并 不 是 接 入 端口 配置 那么 简单 。 你 试想 过 当 NTP (网 络 时 间 协 议 ) 服务 器 或 认证 服务 器 更 改 之 后 引发 的 问题 吗 ? 在 大 多 数 情况 下 ， 网 络 管理 员 手 动 登录 到 | 每 个 设备 和 配置 的 基础 上 设置 这 些 服 
务 器 配置 。 一 些 熟练 的 网 络 专家 虽然 可 以 用 脚本 完成 这 些 工作 ， 但 也 会 产生 一 些 新 的 问题 。 因 为 无 论 通过 哪 种 方法 更 改 NTP 服 务 器 ， 这 些 改变 是 要 覆盖 全 平台 的 。 


当前 主要 的 网 络 设备 管理 方式 有 Console、Telnet、SNMP、XML 等 管理 方式 ， 如 图 13-2 所 示 。 


m 网 络 自动 化 控制 平台 与 工具 
TERMA 


图 13-2 ”主要 网 络 设备 管理 方式 


: Console: 网 络 设备 上 一 般 都 有 一 个 Console 端 口 ， 它 是 专门 用 于 对 设备 进行 配置 和 管理 的 ， 绝 大 多 数 采用 RJ-45 端 口 ， 也 有 少数 采用 DB-9 串 口 或 DB-25 串 口 。 
“ Telnet: 提供 一 种 不 安全 的 访问 设备 的 管理 连接 ， 一 般 不 建议 使 用 。 
* SSH: 利用 网 络 设备 提供 的 SSH 服 务 ， 由 SSH 客 户 端 可 以 建立 一 条 安全 且 经 过 加 密 的 管理 连接 。 


: SNMP (Simple Network Management Protocal ， 简 单 网 络 管理 协议 ) : 管理 系统 通过 一 组 基于 TCP/IP 协 议 的 通信 标准 ， 利 用 该 接口 来 进行 设备 的 监控 与 配置 。 


XML 管理 接口 : 使 用 基于 XML 的 NetConf (Network Configuration Protocol， 网 络 配置 协议 ) ，NetConf 基 于 RFC 4741 的 标准 规范 ， 利 用 XML 的 管理 工具 或 管理 程序 ， 通 过 该 接口 来 实现 设备 的 管理 、 监 


控 和 通信 。 


当前 业界 的 网 络 管理 协议 主要 是 SNMP 和 NetConf。SNMP 采 用 UDP， 实 现 简单 ， 技 术 成 熟 ， 但 是 在 安全 可 靠 性 、 管 理 操作 效率 、 交 互 操作 和 复杂 操作 实现 上 还 不 能 满足 管理 需求 。NetConf 采 用 XML 
作为 配置 数据 和 协议 消息 内 容 的 数据 编码 方式 ， 采 用 基于 TCP 的 SSHv2 进 行 传送 ， 以 RPC 方 式 实现 操作 和 控制 。 XML 可 以 表达 复杂 、 具 有 内 在 逻辑 、 模 型 化 的 管理 对 象 ， 如 端口 、 协 议 、 业 务 以 及 之 间 的 关 
系 等 ， 提 高 了 操作 效率 和 对 象 标准 化 ; 采用 SSHv2 传 送 方式 ， 可 靠 性 、 安 全 性 、 交 互 性 较 好 。 两 种 协议 的 对 比如 表 13-1 所 示 。 


表 13-1 SNMP 和 NetConf 协 议 对 比 


关注 点 NetConf/XML 
客户 端 可 编程 能 力 灵活 编程 ， 但 解释 复杂 
跨 平 台 管 理 能 力 Yes 
批量 配置 Yes, AT XML 树 组 织 管理 请 求 
多 样 化 操作 手段 Set Create/Merge/Delete/Replace/None. 简化 客户 端 操作 难度 
过 滤 监 控 数据 能 力 Yes, 只 看 需要 看 的 数据 


网 络 自动 化 管理 主要 体现 以 下 四 个 方面 : 


“ 做 网 络 设备 追踪 。 它 可 以 存储 网 络 设备 的 配置 信息 ， 网 络 设备 一 般 在 网 管 软件 里 也 可 以 看 到 网 络 设备 ， 但 是 网 管 软件 一 般 只 关心 网 络 的 拓扑 和 网 络 的 连接 关系 ， 而 网 络 自动 化 产品 可 以 存储 配置 信息 
的 快照 ， 对 配置 信息 进行 对 比 都 可 以 做 追踪 ， 这 些 是 网 管 产品 所 不 包含 的 功能 。 


“ 网 络 设备 配置 和 变更 。 当 用 户 需 要 对 网 络 进行 变更 时 ， 比 如 版 本 升级 或 者 配置 变化 ， 网 络 自动 化 产品 非常 有 价值 。 另 外 审计 和 强制 合 规 方 面 ， 要 求 每 一 个 网 络 设备 符 合 企业 的 策略 或 者 合 规 的 要 求 ， 
网 络 自动 化 产品 就 可 以 帮助 用 户 自动 完成 工作 。 


:网络 设备 自动 化 部 署 。 当 对 所 有 的 网 络 设备 的 核心 软件 、 操 作 系 统 进行 升级 时 ， 可 以 通过 网 络 自动 化 来 统一 进行 操作 。 


“ 提供 便捷 的 维护 和 支持 手段 。 用 于 自动 发 现 网 络 设备 、 获 取 网 络 设备 的 配置 ， 以 及 变更 的 详细 记录 信息 。 


现在 有 通用 的 网 络 配置 管理 框架 ， 如 Ansible， 较 好 地 解决 了 手动 和 简单 脚本 进行 网 络 设备 配置 存在 的 问题 。 


13.2 Ansible 官 方 集成 的 网 络 角色 


Anisble 已 经 包含 了 网 络 配置 模块 ， 官 方 网 站 文档 (docs.ansible.com) 有 详细 介绍 。 由 于 网 络 自动 化 处 于 相对 初级 阶段 ， 各 设备 厂家 的 自动 化 手段 有 一 定 的 差异 ， 当 前 Ansible 官 方 支持 的 模块 主要 是 
以 “extra” 模 块 提供 。 “extra” 模 块 是 与 Ansible 一 起 发 行 ， 但 模块 相对 较 新 ， 可 能 比 对 应 的 “core” 模 块 维护 、 更 新 的 活跃 度 低 。 


当前 官方 支持 的 网 络 模块 主要 包括 : 网 络 基 础 支撑 模块 和 负载 均衡 模块 。 


网 络 基础 支撑 模块 有 : 
* dnsimple: 调用 dnsimple.com (DNS 主机 服务 ) 接口 查询 服务 。 
* dnsmadeeasy: 调用 dnsmadeeasy.com (DNS 主机 服务 ) 接口 查询 服务 。 
“ haproxy: 配置 HAProxy 后 端的 服务 ， 包 括 启用 、 失 效 、 权 重 值 设 置 等 。 
- ipify_facts: 查询 公 网 IP 的 互联 网 网 关 。 
lldp: 获取 详细 报表 。 


: nmcli: NetworkManaget 用 于 管理 包括 Ethernet、VLANS、Bridges、Bonds、Teams、Wi-Fi、Mobile Boradband (如 移动 3G) 以 及 IP-over-InfiniBand 等 类 型 的 连接 ， 可 以 配置 网 络 别 名 、IP 地 址 、 静 态 路 


由 、DNS、VPN 连 接 等 很 多 特殊 参数 。 
get ur: 从 HTTP、HTTPS、FTP 下 载 文件 到 主机 。 
“slurp: 从 远 端 节点 提取 一 个 文件 。 
tun: 与 Web 服 务 进行 交互 。 
“ snmp_facts: 使 用 SNMP 查 询 设备 的 facts。 
: openvswitch bridge: 管理 Open vSwitch 的 桥接 配置 。 


"openvswitch_db: 配置 open vswitch 的 数据 库 。 


* openvswitch port: 配置 Open vSwitch 端 口 。 
负载 均衡 模块 包括 支持 A10、F5、Citrix 等 : 
:al0_servetr: 管理 A10 的 AX/SoftAX/Thunder/vThunder 设 备 。 
* a10_service_group: 管理 A10 网 络 设备 的 服务 组 。 
* a10, virtual server: 管理 A10 网 络 设备 的 虚拟 服务 器 。 


' netscaler: 管理 Citrix 的 NetScaler 实 体 配置 。 


* bigip. facts: 收集 F5 BIG-IP 设 备 的 facts。 

* bigip_gtm_wide_ip: 管理 F5 BIG-IP GTM 的 wide ipo 

* bigip monitor http: & £F5 BIG-IP LTM 的 http 监 控 。 

* bigip monitor tcp: 管理 F5 BIG-IP LTM 的 tcp 端 口 监控 。 
* bigip_node: 管理 F5 BIG-IP LTM 节 点 配置 。 


* bigip pool: 管理 F5 BIG-IP LTM 的 pool 配 置 。 


* bigip pool member: 管理 F5 BIG-IP LTM 的 pool 成 员 。 


下 面 是 F5 BIG-IP LTM 的 TCP 端 口 监控 的 playbook: 


- name: BIGIP F5 | Create TCP Monitor 
local action: 
module: bigip monitor tcp 
state: present T 
server: "{{ f5server }}" 
user: "{{ f5user }}" 
password: "{{ f5password }}" 
name: "{{ item.monitorname }}" 
type: tcp 
send: "{{ item.send }}" 
receive: "{{ item.receive }}" 
with items: f5monitors-tcp 
- name: BIGIP F5 | Create TCP half open Monitor 
local action: 
module: bigip monitor tcp 
state: present 


server: "(( f5server }}" 
user: "(( f5user }}" 
password: "(( f5password }}" 
name: "(( item.monitorname }}" 
type: tcp 

send: "(( item.send }}" 


receive: "(( item.receive }}" 
with items: f5monitors-halftcp 
- name: BIGIP F5 | Remove TCP Monitor 
local action: 
module: bigip monitor tcp 
state: absent 
server: "(( f5server }}" 
user: "(( f5user }}" 
password: "(( f5password }}" 
name: "(( monitorname }}" 
with flattened: 
- f5monitors-tcp 
- f5monitors-halftcp 


更 多 关于 Ansible 官 方 支持 的 网 络 模块 详 见 官网 各 个 模块 的 介绍 和 使 用 方式 。 


13.3 ”生成 配置 文件 及 部 署 


你 可 以 直接 使 用 Ansible 的 raw 模 块 执行 网 络 设备 上 的 命令 。 真 正 能 够 发 挥 Ansible 强 大 功能 的 是 使 用 基于 Jinja2 的 模板 系统 来 创建 网 络 设备 的 配置 文件 。 本 节 将 介 使 用 Ansible 的 模板 、 变 量 功能 生成 网 
络 设备 配置 文件 ， 然 后 再 通过 SCP 加 载 到 网 络 设备 ， 这 样 能 够 对 网 络 设备 的 配置 信息 进行 集中 管理 、 巡 检 配置 变化 。 


13.4 通过 SNMP 方 式 配 置 网 络 


我 们 可 能 已 经 对 Cisco 10S 设 备 很 熟悉 ， 并 且 前 几 年 大 量 部 署 在 生产 环境 中 ， 但 是 这 些 Cisco 10S 设 备 缺少 现代 的 API。 如 果 你 想 使 用 Ansible， 需 要 有 SSH、SNMP、HTTPS 等 通信 手段 的 支持 (HTTPS 
经 常 也 被 认为 类 似 SSH) 。 


前 面 已 经 介绍 过 使 用 如 Netmiko 模 块 ， 通 过 SSH 方 式 蔡 换 配置 文件 ， 下 面 介绍 如 何 使 用 SNMP 方 式 来 配置 Cisco 10S 设 备 。SNMP 一 般 在 监控 系统 中 作为 读 取 设 备 状态 信息 的 手段 ， 其 实 SNMP 还 可 以 F 
于 对 设备 配置 的 修改 ， 这 时 最 好 使 用 带 有 安全 认证 的 SNMP v3 方式 。 


Networklore 开 发 了 一 些 针对 cisco 设 备 的 Ansible 模 块 ， 满 足 Cisco 设 备 Ansible 配 置 的 等 害 性 ， 模 块 软件 可 以 从 https://github.com/networklore/ansible-cisco-snmp/ 下 载 源码 。 这 些 模块 依赖 
nelsnmp 0.2.2 及 以 上 版 本 。 当 前 已 经 包含 以 下 模块 : 


* cisco_snmp_cdp- 全 局 或 接口 上 设置 CDP 是 enable 或 disable。 
“cisco_snmp_interface- 网 络 接口 上 配置 描述 、 管 理 状态 等 信息 。 
“cisco_snmp_portsecurity- 启 用 或 关闭 配置 端口 的 安全 。 
cisco_snmp_save_config- 把 running 配 置 文件 保存 到 startup 中 。 


“cisco_snmp_switchport- 修 改 交 换 机 端口 模式 access/trunk 或 access/native vlan。 


“cisco_snmp_vlan-VLAN 的 创建 、 删 除 、 重 命名 。 


首先 ， 需 要 在 管理 节点 上 安装 nelsnmp 软 件 : 


pip install nelsnmp 


如 果 后 来 有 需要 更 新 nelsnmp 模 块 支持 新 的 MIB 库 ， 只 需要 运行 : 


pip install nelsnmp - upgrade 


其 次 ， 需 要 被 管 节点 上 配置 SNMP。 


测试 环境 : SNMPv2， 如 下 所 示 : 


snmp-server community [write-community-string] rw [acl] 


生产 环境 : SNMPv3， 如 下 所 示 : 


ip access-liststandardACL-ANSIBLE-HOST 

permit host 192.168.1.100 

snmp-server view V3ISO iso included 

snmp-server group ANSIBLEGRP v3 priv write V3ISO 

snmp-server user ansible ANSIBLEGRP v3 auth sha AuthPwddl23 priv aes 128 PrivPwd123 access A 


通过 SNMP 修 改 的 只 是 修改 running-config， 因 此 在 使 用 Ansible playbook 时 需要 触发 cisco_snmp_save_config 模 块 进行 保存 。 下 | 


回 


是 个 创建 VLAN 的 playbook 实 例 : 


- hosts: all 

connection: local 

gather facts: no 

handlers: 

- include: handlers/main.yml 

tasks: 

- name: Create vlan 100 with SNMPv3 
cisco snmp vlan: 
host-(( inventory hostname]] 
version-3 E 
vlan id-100 
vlan name-SNMPV3VLAN 
state-present 
username-snmp v3 user 
level-authPriv ` 
integrity-sha 
privacy-aes 
authkey-AuthPasswordl23 
privkey-PrivPassword456 
notify: save config 


handlers/main.ymlI 文 件 如 下 所 示 : 


- name: save config 
cisco snmp save config: 

host-(( inventory hostname]] 
version-3 
username-snmp v3 user 
level-authPriv ` 
integrity-sha 
privacy-aes 
authkey-AuthPasswordl23 
privkey-PrivPassword456 


运 和 


于 上 述 Ansible playbook 之 后 ， 将 在 选择 的 交换 机 上 创建 VLAN 100， 如 果 之 前 交换 机 上 没有 VLAN 100， 将 会 触发 save_config 模 块 进行 保存 。 


13.5 ”网 络 设备 厂商 提供 接口 实现 自动 化 


本 节 将 简要 介绍 如 何 通过 Ansible 来 配置 Cisco NXOS, Junos OS, Cumulus Lunix 三 种 常见 的 典型 网 络 设备 ， 及 它们 需要 的 模块 安装 、 功 能 、 实 例 。 


13.6 ”本 章 小 结 


本 章 首 先 介 绍 现 有 常见 的 网 络 管理 手段 ， 包 括 CLI[、SNMP、WEB、NETCONF 等 ; 然后 通过 Ansible 的 模板 功能 生成 网 络 设备 的 配置 文件 ， 并 由 Paramiko 的 SSH 连 接 类 库 加 载运 行 ; 之 后 介绍 由 Ansible 另 一 
种 模块 调用 ， 通 过 传统 的 SNMP 网 管 协议 set 方 式 管理 、 配 置 网 络 设备 ; 最 后 分 别 介绍 Cisco Nexus. Junos OS, Cumulus Linux 三 家 有 代表 性 的 网 络 设备 ， 通 过 Ansible 调 用 设备 的 管理 API 进 行 自动 化 管理 。 


网 络 配置 和 管理 正 处 于 变革 的 初始 阶段 ， 随 着 SDN 的 迅猛 发 展 ， 网 络 系统 将 会 越 来 越 开 放 ， 网 络 厂 家 也 将 会 提供 越 来 越 完 善 的 API 服 务 功能 ， 大 量 的 网 络 设备 将 集成 到 现 有 的 DevOPs 自 动 化 工具 中 来 ， 
为 大 规模 、 自 动 化 管理 网 络 系统 管理 黄 定 了 坚实 的 基础 。 


第 14 章 Ansible API 


在 前 面 的 章节 中 ， 我 们 已 经 对 Ansible 有 了 较 全 面 的 认识 ， 也 通过 一 些 案例 介绍 了 它 的 应 用 场景 。 本 章 介绍 Ansible 的 两 个 常用 API， 之 后 我 们 用 API 对 Ansible 进 行 2 次 封装 或 者 做 成 单独 的 系统 对 外 提供 
HTTP 接 口 的 服务 ， 当 然 也 可 以 使 用 API 与 公司 现 有 的 其 他 系统 进行 整合 ， 等 等 。 前 面 我 们 也 介绍 了 Ansible 的 日 常 模块 使 用 Ad-Hoc 模 式 与 配置 管理 plabybook 两 大 核心 功能 ， 也 通过 一 些 案 例 去 企业 中 真正 地 使 
用 它 。 本 章 将 分 别针 对 Ansible 的 两 大 核心 功能 的 API 进 行 讲 解 ， 以 便 更 好 地 扩展 Ansible。 然 后 通过 实例 讲解 如 何 使 用 Flask Web 框 架 去 封装 Ansible API。 最 后 简单 介绍 两 个 关于 编写 Ansible Web 管 理 系统 需要 
涉及 的 分 布 式 异 步 任 务工 具 Celery 和 jQuery。 


Ansible 的 扩展 性 非常 强 ， 前 面 我 们 也 通过 一 些 语言 去 定义 一 些 自己 的 moudle。Ansible 更 是 支持 使 用 Python 语言 编写 它 的 各 种 插件 ， 当 然 我 们 平常 使 用 最 频繁 的 Ansible 的 Ad-Hoc 模 式 以 及 playbook 操 作 也 提 
供 相应 的 Python API， 这 样 我 们 就 可 以 使 用 Python 语言 去 直接 操作 Ansible 了 。 下 面 我 们 开始 讲解 Ansible 的 runner 和 playbook API 内 容 。 当 然 Ansible 还 有 其 他 的 API， 本 章 就 不 进行 相应 介绍 了 ， 有 一 定 Python 开 
发 能 力 的 读者 建议 去 阅读 Ansible 源 码 。 


14.1 runner API 


直接 运行 在 ipython 环 境 下 ; 为 了 更 好 地 分 析 API 返 


我 们 平常 使 用 Ansible 的 时 候 经 常会 使 用 到 它 的 Ad-hoc 模 式 。 在 Ansible 的 Ad-Hoc 模 式 下 的 所 有 操作 我 们 可 以 使 
作 。 下 面 就 来 看 一 看 runner API。 默 认 runner API 所 有 的 代码 在 当前 Python 版 本 的 site-packages/ansible/runner 目 录 下 。 以 下 我 们 上 
的 数据 结果 ， 我 的 目标 主机 中 会 有 一 台 连 接 失 败 的 机 器 : 


回 


Ansible 的 runner API 进 行 操作 ， 所 以 runner API 就 能 实现 我 们 日 常 所 有 的 Ad-Hoc 操 
shell 模 块 在 对 比 下 runner API 的 使 用 。 为 了 更 好 地 演 


示 ， 我 的 代码 


[root(python ~]# ansible all -m shell -a 'hostname' 
192.168.1.116 | success | rc=0 >> 


Master 
192.168.1.117 | success | rc-0 >> 
Minion 
192.168.1.118 | success | rc=0 >> 
python 


192.168.1.119 | FAILED => SSH Error: ssh: connect to host 192.168.1.119 port 22: No route to host 


while connecting to 192.168.1.119:22 


It is sometimes useful to re-run the command using -vvvv, which prints SSH debug output to help diagnose the issue. 


这 是 我 们 日 常 执行 shell 模 块 的 使 用 方法 。 下 面 来 看 一 下 通过 runner API 是 怎么 实现 的 (ipython 环 境 ) : 


In [28]: import ansible.runner 


] 
In [29]: runner-ansible.runner.Runner (module name-'shell',module args-'hostname',pattern-'all', forks-10) 
] 


In [30]: result-runner.run() 
In [31]: for host,ret in result['contacted'].items(): 


http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/. .http: / /www.hzcourse.com/resource/readBook?path-/openresources/teack 
http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/ . .http: / /www.hzcourse.com/resource/readBook?path-/openresources/teack 


192.168.1.117 Minion 

192.168.1.116 Master 

192.168.1.118 python 

In [32]: for host,ret in result['dark'].items(): 
print host,ret['msg'] 


http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/. .http: / /www.hzcourse.com/resource/readBook?path-/openresources/teack 
192.168.1.119 SSH Error: ssh: connect to host 192.168.1.119 port 22: No route to host 


while connecting to 192.168.1.119:22 


It is sometimes useful to re-run the command using -vvvv, which prints SSH debug output to help diagnose the issue. 


要 查看 runner 方 法 的 参数 ， 可 以 使 用 help (ansible.runner.Runner) ， 或 者 查看 runner_init_.py 代 码 里 面 的 runner 类 下 的 _init_ 函 数 的 参数 ， 
后 返回 的 结构 是 一 个 Python 字典 ， 这 个 字典 里 面 会 有 两 个 key， 分 别 是 


contacted 和 dark。 我 们 来 看 一 下 runner API 执 行 完 后 的 数据 结构 : 


还 可 以 是 上 


result 的 数据 结构 。runner API 执 行 完 


{'contacted': {'192.168.1.116': {u'changed': True, 
u'cmd': u'hostname', 


u'delta': u'0:00:00.005616', 
u'end': u'2015-05-20 00:02:02.484392', 


'invocation': ('module args': u'hostname', 
'module name': 'shell'], 
u'ra's 0 


n 
u'start': u'2015-05-20 00 
u'stderr': u'', 
u'stdout': u'Master', 
u'warnings': []}, 
'192.168.1.117': (u'changed': True, 
u'cmd': u'hostname', 


:02:02.478776', 


u'delta': u'0:00:00.005283', 

u'end': u'2015-05-20 00:02:02.891015', 

'invocation': ('module args': u'hostname', 
'module name': 'shell'], 


urate 0, 
u'start': u'2015-05-20 00 
u'stderr': u'', 
u'stdout': u'Minion', 
u'warnings': []}, 
'192.168.1.118': (u'changed': True, 
u'cmd': u'hostname', 


:02:02.885732', 


u'delta': u'0:00:00.006049', 

u'end': u'2015-05-20 00:10:48.462575', 

'invocation': ('module args': u'hostname', 
"module name': 'shell'], 


uper: 0, 
u'start': u'2015-05-20 00 
u'stderr': u'', 
u'stdout': u'python', 
u'warnings': []}}, 
'dark': (!'192.168.1.119': ('failed': True, 
'msg': 'SSH Error: ssh: connect to host 192.168.1.119 


:110:48.456526', 


port 22: No route to host 'n while connecting to 192.168.1.119:22WnlIt is sometimes useful to re-run the command usi 


contacted 里 面 存储 着 所 有 执行 成 功 的 信息 ，dark 里 面 存 储 着 所 有 


可 以 使 用 Python 语言 去 封装 Ansible 的 runner API， 或 者 把 我 们 经 常 使 


14.2 playbook API 


接 下 来 我 们 来 了 解 playbook API。 平 时 我 们 编写 好 playbook 之 后 都 是 通过 ansinle-playbook 命 令 去 运行 的 。 相 比 之 下 ，playbook API 比 runner API 要 复杂 些 ， 


的 一 些 模块 封装 成 脚本 的 形式 运行 ， 这 样 就 非常 方便 地 扩展 Ansilbe 的 相关 功能 


因 


执行 失败 的 信息 。 通 过 这 个 数据 结构 可 以 很 清晰 地 看 出 整个 runner API 的 结果 ， 然 后 可 以 在 这 个 结果 里 面 挑选 我 们 关心 的 数据 。 我 们 


为 我 们 执行 playbook 的 时 候 需要 引入 


一 些 其 他 的 插件 ， 比 如 前 面 介绍 callback 插 件 。 默 认 palybook 所 有 的 代码 存放 在 当前 Python 版 本 的 site-packages/ansible/playbook 下 。 下 面 我 们 通过 手动 执行 ansib 
执行 一 个 playbook。 首 先 我 们 来 看 一 下 playbook: 


e-palybook 和 使 用 palybook ApPl 来 


[root(python ~]# cat key.yaml 
- hosts: "((hosts))" 
gather facts: false 
tasks: 
- name: key 
authorized key: user-root key 


{{ lookup('file', '/root/.ssh/id rsa.pub') }}" 


这 是 一 个 很 简单 的 同步 root 用 户 公 钥 的 playbook: 


[root(python ~]# ansible-playbook -i hosts key.yaml -e "hosts-all" 
PLAY [all] Xeon XO ORO Koo eil E E E K E A A A AE E E EE E K K A K A A 
TASK: [key] **xkXxioxkiokdonkekon]opokiook ione opener 


ok: [192.168.1.117] 
ok: [192.168.1.116] 
ok: [192.168.1.118] 


fatal: [192.168.1.119] => SSH Error: ssh: connect to host 192.168.1.119 port 22: No route to host 


while connecting to 192.168.1.119:22 


It is sometimes useful to re-run the command using -vvvv, which prints SSH debug output to help diagnose the issue. 
PLAY RECAP # A d A A A ak H A E A A k E A E A A K E AE K E A K E AE E E A K e A K E FE K E A oer 


to retry, use: --limit @/root/key.yaml.retry 


192.168.1.116 changed-0 unreachable-0 failed-0 
192.168.1.117 changed-0 unreachabl failed-0 
192.168.1.118 changed-0 unreachabl failed-0 
192.168.1.119 changed-0 unreachable-1 failed-0 


下 面 我 们 再 通过 playbook API 的 方式 来 引用 和 运行 上 面 定义 的 playbook， 当 然 需 要 引入 一 些 Ansible playbook 相 关 的 模块 (ipython 环 境 ) : 


In [1]: from ansible.inventory import Inventory 

In [2]: from ansible.playbook import PlayBook 

In [3]: from ansible import callbacks 

In [4]: inventory = Inventory('./hosts') 

In [5]: stats = callbacks.AggregateStats() 

In [6]: playbook cb = callbacks.PlaybookCallbacks () 

In [7]: runner cb = callbacks.PlaybookRunnerCallbacks (stats) 
In [9]: 


In [10]: res = results.run() 
PLAY [all] A994 oionIo I A E A A A A A AE E EE E E KE K K A A A A E E E K E K K K AK 


TASK: [key] ** A K E E A E E K E e E oO K E E E A E E E E E e E A E A R E E E A E A K R K K E E K K k K 


ok: [192.168.1.118] 


fatal: [192.168.1.119] => SSH Error: ssh: connect to host 192.168.1.119 port 22: No route to host 


while connecting to 192.168.1.119:22 


It is sometimes useful to re-run the command using -vvvv, which prints SSH debug output to help diagnose the issue. 


ok: [192.168.1.116] 
ok: [192.168.1.117] 
In [11]: import pprint 
In [12]: pprint.pprint (res) 
('192.168.1.116': ('changed': 0, 
'failures': 0, 
'ok': 1, 
'skipped': 0, 
'unreachable': 0}, 
'192.168.1.117': ('changed': 0, 
'failures': 0, 
'ok': 1, 
'skipped': 0, 
'unreachable': 0}, 
'192.168.1.118': ('changed': 0, 
'failures': 0, 
'ok': 1, 
'skipped': 0, 
'unreachable': 0}, 
'192.168.1.119': ('changed': 0, 
'failures': 0, 
tok": 0, 
'skipped': 0, 
'unreachable': 1}} 


results = PlayBook (playbook-'key.yaml',callbacks-playbook cb,runner callbacks-runner cb,stats-stats,inventory-inventory,extra vars-('hosts':'all']) 


: In 由 表示 引入 Inventory 类 。 

“ In] A7 4] A PlayBook X - 

“ In[3] 表 示 引 入 callbacks 类 。 

: In[ 介 表示 定义 inventory 文 件 ， 如 果 是 动态 inventory 指 定 脚本 即 可 。 


- Tn 


四 | 


-In[7] 表 示 加 载 callbacks 插 件 。 


“In| 


rei 


表示 初始 化 playbook 参 数 。 


“ In[10] 表 示 运 行 playbook， 将 结果 保存 到 tes 对象 内 。 


“ In[11] 为 了 很 好 的 打印 tres 对 象 内 的 数据 ， 这 里 引入 了 pprint 模 块 。 


关于 PlayBook 这 个 class 的 使 


参数 ， 我 们 可 以 使 


help (PlayBook) 查看 或 者 查看 playbook/_init_.py 代 码 的 PlayBook 类 下 的 _init_ 函数 的 参数 。 里 面 提 供 很 多 参数 供 我 们 使 用 。 关 于 playbook 


API 的 结果 相 比 runner API 的 结果 要 好 理解 得 多 ， 在 playbook API 的 执行 结果 里 面 只 会 显示 每 台 机 器 的 状态 ， 比 如 执行 成 功 了 多 少 个 task， 执 行 失败 了 多 少 个 task 信 息 。 


143 ”使 用 Flask 封 装 Ansible API 


前 面 已 经 介绍 了 Ansible 的 runner 和 palybook 两 个 AP1， 尽 管 这 些 API 功 能 


们 远程 调 


。 或 者 开发 一 个 适合 自己 业务 的 Ansible Web 平 台 等 。 下 面 我 就 通过 一 个 简单 的 例子 使 


很 强大 ， 但 是 这 些 API 功 能 我 们 不 能 远程 调用 。 我 们 熟悉 Ansible API 后 可 以 使 
Flask Web 框 架 去 封装 Ansible 的 runner 和 playbooks AP 


一 些 Python Web 框 架 进 行 2 次 封装 ， 方 便 我 


. X3 


FFlask Web 框 架 的 知识 ， 可 以 通过 Flask 


官网 (http://flask.pocoo.org/) 进行 学 习 ， 本 书 不 进行 更 多 的 介绍 。 下 面 我 们 通过 Flask 对 外 提供 HTTP API 接 口 ， 这 样 就 可 以 通过 HTTP 请 求 的 方式 操作 Ansible。Flask 代 码 如 下 : 


#!/usr/bin/python 

#coding:utf-8 

from ansible.inventory import Inventory 

from ansible.playbook import PlayBook 

from ansible import callbacks 

import ansible.runner 

from flask import Flask, request, jsonify, render_template, abort 
import commands, json T 

app = Flask( name ) 

hostfile-'./hosts' - 


(rn 


http://127.0.0.1:5000/API/Ansible/playbook?ip-2.2.2.2&palybook-test 
(n 
Gapp.route (' /API/Ansible/playbook!) 
def Playbook(): 
vars-(] 
inventory = Inventory (hostfile) 
stats = callbacks.AggregateStats () 
playbook cb -callbacks.PlaybookCallbacks () 
runner cb -callbacks.PlaybookRunnerCallbacks (stats) 
hosts-request.args.get ('ip') 
task-request.args.get ('playbook') 
vars['hosts'] = hosts 
Play=task + '.yml' 


results = PlayBook (playbook-play,callbacks-playbook cb,runner callbacks-runner cb,stats-stats,inventory-inventory,extra vars-vars) 


res = results.run() 
return json.dumps (res, indent-4) 


curl -H "Content-Type: application/json" -X POST -d '("ip":"1.1.1.1","module":"shell","args":"ls -1"}' http://127.0.0.1:5000/API/Ansible/runner 


(rn 
Gapp.route('/API/Ansible/runner',methods-['POST']) 
def Runner(): 

print request.json 


if not request.json or not 'ip' in request.json or not 'module' in request.json or not 'args' in request.json: 


abort (400) 
hosts-request.json['ip'] 
module = request.json['module'] 
args-request.json['args'] 


runner = ansible.runner.Runner (module name-module,module args-args,pattern-hosts, forks-10,host list-hostfile) 


tasks-runner.run() 
cpis={} 
cpisl={} 


for (hostname, result) in tasks['contacted'].items(): 


if not 'failed' in result: 


cpis [hostname] = result['stdout'] 
for (hostname, result) in tasks['dark'].items(): 
cpisl[hostname] = result['msg'] 


return render template ('cpis.html',cpis-cpis,cpisl-cpisl) 


if name  -- " main ": 


app. run (debug-True,host-'0.0.0.0") 


这 里 简单 介绍 一 下 ， 首 先 定 义 了 两 个 app.route， 其 实 就 是 两 个 URL， 一 个 是 调用 runner API 的 ， 一 个 是 调用 playbook API 的 其 次 通过 URL 的 方式 传 入 一 些 参 数 ，Flask 接 收 到 这 些 参数 后 传 入 Ansible 


API， 最 后 把 API 执 行 的 结果 返 


回 


给 用 户 。 关 于 runnerAP1， 需 要 上 


单 定义 了 一 个 jinja2 模 板 ， 这 个 模板 可 以 根据 


己 的 需求 去 定义 : 


户 发 起 HTTP POST 请 求 ， 然 后 在 POST 的 数据 里 面 携带 一 些 module 名 称 和 module 参 数 信 息 ， 以 及 目标 机 器 。runner API 的 return 格 式 简 


THHHHBHHHHHHHER S TEC] JGIHHBHHBHHHBHHHHHRHE 


($ for x,y in cpis.items() $ 


(y) 
[5 endfor %} 
IHHHHHHHHHHHHEADICUC 备 PLAOHHBHHHHHHHRHRHRE 


$ for a,b in cpisl.items() $) 


(Cb }} 


($ endfor $) 


U x oom 


主机 (( a He 


下 面 我 们 就 可 以 使 用 HTTP 请 求 的 方式 操作 Ansible 了 ， 比 如 通过 HTTP GET 方 式 向 Flask 发 送 一 个 调 


Ansible PlayBook API 的 操作 。 针 对 所 有 主机 运行 key.yaml playbook: 


[root(python ~]# curl "http://127.0.0.1:5000/API/Ansible/playbook?ip-all&playbook-key" 
{ 


"192.168.1.117": ( 
"unreachable": 0, 
"skipped": 0, 
"ok; 1, 
"changed": 0, 
"failures": 0 


bs 

"192.168.1.116": { 
"unreachable": 0, 
"skipped": 0, 
takne Ty 
"changed" 
"failures 


] 
"192.168.1.119": 


"unreachable 1, 
"skipped": 0, 
"ok": 0, 
"changed": 0, 


"failures": 0 
] 
"192.168.1.118": ( 
"unreachable": 0, 
"skipped": 0, 
"ok"; 1, 
"changed": 
"failures" 


执行 完成 后 可 以 直接 显示 每 台 主机 Playbook 中 tasks 的 状态 信息 了 。 同 样 我 们 还 可 以 使 用 HTTP POST 的 方式 给 Ansible runner API 发 送 模块 的 执行 请 求 ， 比 如 远程 调用 Ansible 的 shell 模 块 ， 针 对 所 有 主 


机 执行 hostname 参 数 : 


[root@python ~]# curl -H "Content-Type: application/json" -X POST -d '("ip":"all","module":"shell","args":"hostname"]' http://127.0.0.1:5000/API/Ansible/runner 
THHHHBHHHHHHHER S) TUE] JGIHHBHHHHHBHHHHHRHE 


主机 192.168.1.116— 


主机 192.168.1.118— 


ython 
THHHHHHHHHHHHE AU EEA PLACBHHBHRHHHHHHHHHRHRE 


SSH Error: ssh: connect to host 192.168.1.119 port 22: No route to host 
while connecting to 192.168.1.119:22 
It is sometimes useful to re-run the command using -vvvv, which prints SSH debug output to help diagnose the issue. 


zd 


因为 我 对 runner API 的 执行 结果 用 Jinja 模 板 进行 了 格式 化 ， 所 以 我 们 可 以 很 直观 地 看 到 每 台 机 器 的 执行 结果 信息 。 


这 就 是 一 个 最 简单 的 使 用 Flask 实 现 Ansible HTTP API 的 示例 ， 当 然 还 可 以 使 用 其 他 框架 进行 封装 ， 大 家 可 以 根据 自己 的 需求 去 定制 一 些 Python 脚 本 等 。 这 里 主要 是 为 了 大 家 能 理解 Ansible 的 runner 


API 和 playbook API 后 能 够 进行 一 些 简 单 的 封装 以 及 二 次 开发 等 。 如 果 有 Python 项 目 开 发 经 验 的 读者 ， 可 以 使 用 其 他 框架 编写 一 个 Ansible Web 管 理 系 统 。 与 Ansible 之 间 的 操作 直接 使 用 runner API 和 


playbook APl 即 可 。 当 然 还 需要 考虑 其 他 因素 ， 比 如 目前 Ansible 的 API 在 调用 的 时 候 都 是 阻塞 的 ， 如 果 你 执行 一 个 playpook 时 间 很 长 ， 可 能 会 出 现 前 端 用 户 一直 处 于 等 待 状 态 ， 甚 至 超时 等 等 。 这 个 时 候 
我 们 可 以 引入 一 些 其 他 工具 去 执行 ， 比 如 Celery 这 类 的 异步 任务 项 目 以 及 Web 前 端的 Ajax 技术 等 。 


144 ”使 用 Celery 实 现任 务 异 步 化 


hi 


虽然 在 上 一 节 我 们 实现 了 远程 调用 Ansible AP1， 但 是 细心 的 读者 会 发 现 ，Ansible 的 AP 默认 本 身 是 阻塞 的 ， 例 如 我 们 
处 于 等 待 状 态 。 其 实 默认 这 样 的 应 用 对 网 民 的 体验 感 不 是 很 好 ， 下 面 我 们 来 简 和 


明白 Celery 是 一 个 实现 分 布 式 异步 任务 的 工 


即 可 ， 它 能 把 一 些 执行 等 待 间 很 长 的 任务 进行 异步 化 。 下 面 的 例子 我 是 使 


下 Flask 的 代码 : 


from celery import Celery 
import json 


from flask import Flask, abort, jsonify, request, session 
from ansible.inventory import Inventory 


from ansible.playbook import PlayBook 


from ansible import callbacks 
import jinja2 


from tempfile import NamedTemporaryFile 


app = Flask( name ) 


app.config['SECRET KEY'] = 'top-secret!' 
app.config['CELERY BROKER URL'] = 'redis://localhost:6379/0' 


app.config['CELERY RESULT BACKEND'] — 


'redis://localhost:6379/0' 


Redis 当 作 Celery 的 broker， 读 者 可 根据 情况 挑选 


在 请 求 Ansible API 的 时 候 ， 如 果 Ansible 本 身 没有 完成 这 个 工作 ， 用 户 那 边 将 一 直 
整合 Ansible playbook API 和 Celery。 关 于 Celery 的 相关 介绍 ， 本 书 不 多 讲 ， 大 家 可 以 通过 Celery 官 网 进行 了 解 和 学 习 ， 只 


己 熟 悉 的 broker。 我 们 来 看 一 


celery - Celery(app.name, broker-app.config['CELERY BROKER URL']) 

celery.conf.update (app.config) m T 

Gcelery.task 

def adduser (ips 
inventory 
{% for i in hosts -%} 
(Cin 


$ endfor $) 


users): 


inventory template - jinja2.Template (inventory) 

rendered inventory = inventory template.render(('hosts': ips}) 

hosts = NamedTemporaryFile (delete-False, suffix-'tmp',dir-'/tmp/ansible/') 
hosts.write (rendered inventory) 

hosts.close() 

inventory = Inventory (hosts.name) 

stats = callbacks.AggregateStats () 

playbook cb -callbacks.PlaybookCallbacks () 


runner cb —callbacks.PlaybookRunnerCallbacks (stats) 
vars-() 
vars['users'] = users 


results = PlayBook(playbook-'user.yaml',callbacks-playbook cb,runner callbacks-runner cb,stats-stats,inventory-inventory,extra vars-vars) 
res = results.run() 
logs = D] 
logs.append("finish playbookWMn") 
logs.append (str (res)) 
return logs 
Gapp.route('/', methods-['GET', 'POST']) 
def index(): 
return render template ('index.html') 
Gapp.route ("/add", methods- [ ' POST']) 


def one(): 
ips = [ i.encode('ascii') for i in request.form.getlist('ips') ] 
users = [ i.encode('ascii') for i in request.form.getlist('users') ] 


res = adduser.apply async((ips, users)) 
context = ("id": res.task id, "ips": ips, "users": users) 
result add((ips)(0), (users)(1))".format(context['ips'], context['users']) 
0)".format (context ['id']) 

return jsonify(result-result, goto-goto) 
Gapp.route ("/add/result/«task id»") 
def show add result(task id): 

task = adduser.AsyncResult (task id) 

if task.state == 'PENDING': 

response - ( 
'state': task.state, 


'status': 'Pendinghttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/..." 
} 
elif task.state != 'FAILURE': 
response = ( 


'state': task.state, 
'status': task.info 
} 
if 'result' in task.info: 
response['result'] = task.info['result'] 
else: 
response = ( 
'state': task.state, 
'status': task.info, 


return jsonify (response) 


if name = " main ": 
app.run(host-'0.0.0.0', port-5000, debug-True) 


在 这 个 Flask 脚 本 里 面 ， 我 只 定义 了 一 个 简单 的 adduser 的 Celery tasks， 这 个 任务 就 是 把 Ansible playbook API 操 作 放 入 Celery 里 面 。 当 然 Celery 也 支持 定义 很 多 其 他 task。inventory 在 这 里 不 是 指定 
静态 或 者 动态 的 文件 ， 是 通过 客户 端 使 用 HTTP 形 式 POST 的 主机 列表 然后 采用 tempfile 和 jinja2 模 板 动态 生成 每 次 POST 过 来 的 主机 ， 这 样 可 以 更 加 灵活 地 处 理 目标 主机 。 然 后 针对 这 些 主 机 使 用 Ansible 
plyabook API 进 行 处 理 。 其 实 这 个 例子 就 是 执行 user.yaml。 当 然 大 家 可 以 提前 编写 好 playbook， 通 过 不 同 的 参数 调用 不 同 的 playbook 任 务 即 可 。 


因为 Ansible playbook AP 是 一 个 阻塞 的 过 程 ， 所 以 把 这 个 操作 放 到 Celery tasks 里 面 了 。 当 客户 端 POST 一 个 任务 来 后 ， 能 马上 响应 客户 端 请 求 并 且 返 回 Celery tasks id， 客 户 端 可 以 根据 这 个 id， 查 
看 这 个 请 求 的 实时 状态 。 如 果 查 询 Celery 中 该 tasks id 的 状态 运行 完成 了 ， 这 个 时 候 直接 把 运行 结果 返回 给 用 户 。 下 面 我 们 运行 代码 ， 首 先 需要 启动 Celery 后 加 载 tasks: 


celery - test.celery worker -l debug #test 为 flask 脚 本 


然后 启动 Flask 应 用 。 关 于 Flask 的 项 目 应 用 的 部 署 ， 可 以 使 用 Nginx+Gunicorn 的 方式 去 部 署 ， 这 里 只 是 简单 演示 就 直接 使 用 python test.py 方 式 启 动 应 用 了 。 应 
POST 脚本 进行 测试 : 


启动 成 功 后 ， 我 们 来 写 一 个 客户 端 


import requests 
import json 
import time 
import sys 
import argparse 
import multiprocessing 
ppm-('bjct': '1.2.3.4','hnct': '4.3.2.1!] 
def tolist (fn): 
ips - [] 
with open(fn) as f: 
for ip in f: 
ips.append(ip.strip()) 
return ips 
def kaitou(fn): 
with open(fn,'r') as f: 
hosts-[ i.strip() for i in f.readlines()] 


idc dict={} 
for i in hosts: 
key = i.split("-") [0] 


if key in idc dict.keys(): 
idc dict[key].append(i) 
else: 
idc dict[key]-[] 
idc dict[key].append(i) 
return idc dict 
def run(target,action,ips,users): 
p = ('ips': ips, 'users': users } 
r = requests.post ('http://(0):5000/(1)'.format(ppm[target],action), data = p) 
gto - r.json() ['goto'] 
while 1: 
if requests.get ("http://10) :5000/ (1) /result/(2])".format (ppn[target],action,gto)).json()['state'] == "PENDING": 
print 'N033[1;31; 40m' 
print '*' * 50 
print target + ' IDC ' + "task running please waithttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/ . . http: / /w 
print t*r * 50 
print 'N033[0m' 
time.sleep(1) 
pass 
continue 
else: 
print 'N033[1;32; 40m' 
print target + ' IDC ' + 
task running result- 
print '\033[0m' 
res-requests.get ("http: // (0) :5000/ (1) /result/(2)".format (ppmn[target],action,gto)).json() ['status'] 
for i in res: 


print i +" " + str(res[i]).replace("u", "") 
break 
if name _ == ' main ': 
"parser = argparse.ArgumentParser() 
parser.add argument('-i', '--ips', help-'ips files') 


parser.add argument ('-u', '--users', help-'users files') 


parser.add argument('-a', '--action', help-'user manage action ex: add of del') 


args = vars(parser.parse args () ) 


if args['ips'] and args['users'] and args['action'] in ['add','del'] : 


idcinfo-kaitou (args['ips']) 
idcs-idcinfo.keys() 

users-tolist (args['users']) 

pool = multiprocessing.Pool (processes-4) 
res-[] 

for idc in idcs: 


pool.apply async(run, (idc,args['action'],idcinfo[idc],users)) 


pool.close() 
pool.join() 
else: 
print parser.print help() 


因为 我 这 个 客户 端 脚本 要 实现 一 个 简单 的 分 布 式 功 能 ， 这 个 脚本 的 主 


上 上。 例如， 如果 我 的 主机 文件 内 容 如 下 : 


作用 


就 是 通过 读 取 指定 文件 中 的 


机 名 地 址 和 user 用 户 列 表 ， 然 后 通过 3 


机 名 的 开头 选择 将 任务 发 送 到 不 同 的 IDC 机 房 的 server 


(Ansible) [shencan(Ansible ~]$ cat y 
bjct-mongodb01.shencan.net 
hnct-rabbitmq01.shencan.net 


使 用 request 模 块 POST 到 Flask 服 务 器 ， 再 根据 返回 的 celery tasks id 去 查询 状态 ， 直 到 任务 处 理 完 ， 打 印 任务 结果 。 我 们 运行 的 客户 端 脚本 如 下 所 示 : 


(Ansible) [shencanGAnsible -]$ python test.py -i y -u z -a add 


task running please waithttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/ . . http: / /www .hzcourse.com/resource/readBook?patk 


L— =========tąsk running result--— 


bjct-mongodb01.shencan.net ('failres': 0, 'skipped': 0, 'changed': 0, 'ok': 1, 'nreachable': 0) 
hnct-rabbitmq01.shencan.net ('failres': 0, 'skipped': 0, 'changed': 0, 'ok': 1, 'nreachable': 0) 


Flask 服 务 器 的 Celery 日 志 如 


14-1 所 示 。 


[2015-66-31 
[2015-06-31 
[2815-88-31 
[2015-66-31 
"it em" 
"ac g" 


WARNING/Worke r-2] 
WARNING/Worker-2] 


} 
[2015-08-31 16:29:37,648; 
"Atem "p", 
"msg": "a" 
H 
[2015-08-31 16:29:37,960: WARMIMG/Worker-2] 
"b", 
"msg": "b" 
) 
[2815-88-31 16:29:17,878: 
"ltem"; "b", 
"nsg": "br 
} 
[2815-68-31 16:29:35,093: 
"item": ae", 
"nasg": we 
} 
[2815-06-31 16:29:38,095: 
"Atem": mM. 
"msg": "c" 
) 
[2015-08-31 16:29:38,322: 
"item "d 
"msg"; "d" 


[2815-88-31 16:29:38,398: 


"item m". 
"ag" 


ok: 


[new user] 
[189. 16.138. 24] 


[10. 16. 138.21] 


[19.10.138.24] 


[18. 16.138.211 


[18. 16. 138.24] 


[18.10.138.21] 


[18.16.138.24] 


[18. 16.138.211 


=> (item=a) => ( 


(itemeb) 


(item=b) 


(item=c) 


(item=d) 


(item=d) 


DEBUG/MainProcess] Task accepted: test.adduser[89c989e1—-cb85—-4572-95a4—-3896a28d0dc1] pid:15268 
WARNING/Worker-2] PLAY [all] 
TASK: 


14-1 Flask 服 务 器 的 Celery 日 志 


2015-08-31 16:29:37,341: WARNING/Worker-2] PLAY [all] **** 火 * 火 火炎 业 火炎 
2015-08-31 16:29:37,342: WARNING/Worker-2] TASK: [new user] ******** 
2015-08-31 16:29:37,633: WARNING/Worker-2] ok: [bjct-mongodb0l.shencan.net] => (item-a) => ( 


"item": "a", 


"msg": "a 


} 
2015-08-31 16:29:37,648: WARNING/Worker-2] ok: 
"item": "a", 


"msg": "a 


hnct-rabbitmq0l.shencan.net] => (item=a) => ( 


} 
2015-08-31 16:29:37,860: WARNING/Worker-2] ok: [bjct-mongodb01.shencan.net] => (item=b) => ( 


"item": "b", 
"msg": "b" 
} 
2015-08-31 16:29:37,870: WARNING/Worker-2] ok: [hnct-rabbitmq0l.shencan.net] => (item-b) => ( 
"item": "b", 
"msg": "b" 
} 
2015-08-31 16:29:38,093: WARNING/Worker-2] ok: [bjct-mongodb01.shencan.net] => (item=c) => ( 
"item": "c", 
"msg": "c" 


} 
2015-08-31 16:29:38,095: WARNING/Worker-2] ok: 


"item": "c", 
"msg"; "c" 


hnct-rabbitmq01.shencan.net] => (item-c) => ( 


} 
2015-08-31 16:29:38,322: WARNING/Worker-2] ok: [bjct-mongodb01.shencan.net] => (item=d) => { 


"item": "d", 
"msg"; "d" 

$ 

2015-08-31 16:29:38,390: WARNING/Worker-2] ok: [hnct-rabbitmq01.shencan.net] => (item=d) => { 
"item": "d", 
"msg"; "d" 


这 里 只 是 简单 地 使 用 Ansible playbook API 调 用 了 一 个 简单 的 user.yaml playbook 文 件 ， 读 者 可 以 根据 自己 的 实际 情况 去 编写 这 个 playbook。 


145 使 用 Query Ajax 异步 请 求 


在 我 们 写 Web 平 台 的 时 候 ， 如 果 提 交 一 个 任务 运行 时 间 过 长 ， 可 能 会 导致 504 错 误 ， 我 们 已 经 使 用 Celery 解 决 了 这 个 问题 。 但 是 前 端 没 法 实时 查看 Celery 的 状态 ， 这 个 时 候 就 需要 引入 jQuery Ajax 技术 
了 。 由 于 jQuery Ajax 都 是 Web 前 端 相 关 的 技术 ， 所 以 我 这 里 只 是 简单 介绍 如 何 实现 实时 刷新 的 功能 。 


首先 需要 简单 编写 一 个 HTML 页 面 ， 这 里 采 


GitHub 上 ansible-celery-flask-demo 这 个 项 目的 HTML 页 面 中 的 script 代 码 进行 讲解 : 


«script» 
function playbook() { 
$ (progress!) .empty () ; 


$.ajax(( 
type: 'POST', // POST 方式 
url: '/add', // POST url 
data : $("#fuck") .serialize(), // POST 数据 (把 表单 数据 id 为 fuck) 


success: function(data, status, request) ( 
status url = request.getResponseHeader ('Location'); 


// POST 成 功 后 Fl1ask 会 读 取 Locatio 中 带 Lask.id 的 URL 
update progress (status url); // 


调用 update_progress 函 数 去 查询 Celery 状 态 


’ 


error: function() { // POST 异常 提示 
alert('Unexpected error'); 
l 


n; 
} 


function update progress (status_url) { 


$.getJSON (status_url, function(data) { // 调用 getJSON 请 求 URL 
var txt = ''; 
$.each(data.status, function(i, x){ // 循环 分 析 get 后 的 结果 
txt += x; 


D; 

$('fprogress').text(txt); // 将 结果 显示 在 id 为 progress 处 

if (data['state'] == 'PENDING' || data['state'] == 'PROGRESS') | // 2 秒 查 询 一 次 状态 让 判断 Celery task id 的 状态 
setTimeout(function() ( update progress(status url); }, 1000); // 上 面条 件 不 匹配 继续 调用 update progress 

l 


n; 


$(function() { 
$('4start-bg-job') . click (playbook) ; // 在 id 为 start-bg-job 处 触发 
n; 
</script> 


需要 注意 的 是 ， 为 了 Ajax POST 数据 后 Flask 能 返回 含有 celery task id 的 URL， 需 要 修改 Flask/add 路 由 的 return: 


Gapp.route ("/add",methods=['POST']) 

def one(): 
ips = [ i.encode('ascii') for i in request.form.getlist('ips') ] 
users = [ i.encode('ascii') for i in request.form.getlist('users') ] 
res = adduser.apply async((ips, users)) 


return jsonify({}), 202, ('Location': url for('show add result', task id-task.id)) # 将 带 Celery id 的 URL 通 过 HTTP Location header 返回 给 'Ajax' 


下 面 我 们 来 简单 测试 下 。 写 一 个 简单 的 HTML 页 面 ， 输 入 数据 点 击 提交 ， 如 图 14-2 所 示 。 


Flask + Celery + Ansible 


Ips: 'vps.shencan net 


Users: shoncan 


执行 Celery 任 务 


图 14-2 输入 数据 提交 


执行 任务 后 会 马上 返回 Pendinghttp://www.hzcourse.com/resource/readBook?path=/openresources/teach_ebook/uncompressed/15658/OEBPS/Text/... 状 态 ， 如 图 


Flask + Celery + Ansible 


Ips: |vps.shencan.net 
Users: shencan 


14-3 所 示 。 


Pending... 


ins) 


14-3 ”执行 任务 后 返回 状态 


Celery task 执 行 完成 后 会 自动 刷新 显示 结果 ， 如 图 14-4 所 示 。 


Flask + Celery + Ansible 


Ips: [vps.shencan. net. 


Users: [snencan 


finish playbook 
['vps.shencan.net': ['unreachable': 0, 'skipped 'changed': 0, 'failures': 0)) 


14-4 ETER 


本 节 只 是 简单 演示 Ajax 实现 异步 请 求 功能 ， 读 者 可 以 参考 以 上 思路 在 Web 管 理 系统 中 实现 相关 功能 。 如 果 有 前 端 开发 经 验 的 读者 ， 可 以 通过 一 些 CSSs 样 式 使 得 整个 页 面 更 加 炫 酷 。 


14.6 本章 小 结 


本 章 主要 围绕 Ansible 的 runner 和 playbook 两 个 常用 API 进 行 简单 介绍 ， 还 介绍 了 一 些 简单 的 扩展 。Ansible 软 件 本 身 的 扩展 性 非常 好 ， 可 以 很 方便 地 对 它 进 行 2 次 开发 。 为 了 能 让 Ansible 能 满足 更 加 复杂 的 应 
用 场景 ， 本 章 还 介绍 一 些 如 何 使 用 Web 框 架 实 现 Ansible 远 程 调用 HTTP API， 这 样 可 以 给 想 基于 Ansible 开 发 相关 管理 系统 的 读者 提供 一 个 更 加 好 的 思 


MRA Ansible.cfg 配 置 文件 参数 详解 


Ansible 的 配置 文件 名 称 叫 作 ansible.cfg， 而 默认 Ansible 程 序 读 取 配 置 ansible.cfg 文 件 路 径 优先 级 如 下 : 


* ANSIBLE CONFIG (直接 通过 export 变 量 声明 ) 
* ansible.cfg (ansible 当 前 工作 目录 ) 

* .ansible.cfg (ansible 当 前 运行 用 户 家 目录 ) 
* /etc/ansible/ansible.cfg 


Ansible 会 根据 上 面 的 优先 级 寻找 配置 文件 ， 找 到 配置 文件 后 会 读 取 配置 文件 内 的 相应 参数 。ansible.cfg 是 一 个 标准 的 INI 格 式 文件 ， 而 且 Ansible 本 身 没有 服务 的 概念 ， 所 以 只 要 配置 修改 后 配置 将 马上 
生效 。 在 Ansible 程 序 中 有 很 多 相关 参数 的 定义 ， 有 些 参 数 我 们 是 需要 通过 修改 配置 文件 来 生效 的 。 而 有 些 参数 配置 我 们 可 以 直接 通过 bash 环 境 变量 进行 临时 更 改 。 比 如 临时 设置 Ansible 的 资源 清单 文件 为 
当前 目录 下 的 hosts 文 件 : 


export ANSIBLE HOSTS-./hosts 


下 面 将 列 出 Ansible 程 序 支持 的 所 有 环境 变量 更 改 的 配置 参数 。 大 家 也 可 以 通过 Ansible 程 序 源码 文件 constants.py 得 到 。 所 有 以 ANSIBLE 开头 的 参数 都 是 可 以 通过 bash 环 境 变量 进行 临时 修改 的 。 由 于 
篇 幅 有 限 下 面 只 截取 了 部 分 配置 : 


DEFAULT ACTION PLUGIN PATH = get config(p, DEFAULTS, 'action plugins', 'ANSIBLE ACTION PLUGINS', '-/.ansible/plugins/action plugins:/us 

z/share/ansible plugins/action plugins! ) 

DEFAULT CACHE PLUGIN PATH = get config(p, DEFAULTS, 'cache plugins', 'ANSIBLE CACHE PLUGINS', '-/.ansible/plugins/cache plugins:/usr/share/ansible plugins/cache plugir 
DEFAULT CALLBACK PLUGIN PATH = get config(p, DEFAULTS, 'callback plugins', 'ANSIBLE CALLBACK PLUGINS', 1:/ .ansible/plugins7callback plugin 

s:/usr/share/ansible plugins/callback plugins') 

DEFAULT CONNECTION PLUGIN PATH = get config(p, DEFAULTS, "connection: plugins" , 'ANSIBLE CONNECTION PLUGINS', '-/.ansible/plugins/connection plugins:/usr/share/ansible plugi 
DEFAULT LOOKUP PLUGIN PATH = get config(p, DEFAULTS, "lookup Plugins 7 'ANSIBLE LOOKUP PLUGINS', '-/.ansible/plugins/lookup plugins:/usr/share/ansible plugins/lookup pl 
DEFAULT VARS PLUGIN PATH = get « config (p, DEFAULTS, 'vars plugins' 7 

'ANSIBLE VARS PLUGINS', '-/.ansible/plugins/vars plugins: fusr/share/ansible plugins/vars plugins' ) 

DEFAULT FILTER PLUGIN PATH = get config(p, DEFAULTS, 'filter plugins', 'ANSIBLE FILTER PLUGINS', '-/.ansible/plugins/filter plugins:/usr/share/ansible plugins/filter pl 
CACHE PLUGIN = get : config (p, DEFAULTS, 'fact caching', 

'ANSIBLE CACHE PLUGIN', 'memory') 

CACHE PLUGIN CONNECTION = get config(p, DEFAULTS, 'fact caching connection', 'ANSIBLE CACHE PLUGIN CONNECTION', None) 

CACHE PLUGIN PREFIX = get config(p, DEFAULTS, 'fact caching prefix', 'ANSIBLE CACHE PLUGIN PREFIX', 'ansible facts") 

CACHE PLUGIN TIMEOUT = get config(p, DEFAULTS, 'fact caching timeout', 'ANSIBLE CACHE PLUGIN ' TIMEOUT', 24 * 60 * 60, integer-True) 

ANSIBLE FORCE COLOR = get config(p, DEFAULTS, 'force color', 

'ANSIBLE FORCE COIOR', None, boolean-True) 

ANSIBLE NOCOLOR = get config(p, DEFAULTS, 'nocolor', 'ANSIBLE NOCOLOR', None, boolean-True) 

ANSIBLE NOCOWS = get « config(p, DEFAULTS, 'nocows', 'ANSIBLE NOCOWS', None, boolean-True) 

DISPLAY SKIPPED HOSTS = get config(p, DEFAULTS, "display : skipped hosts', "DISPLAY SKIPPED HOSTS', True, boolean-True) 

DEFAULT UNDEFINED VAR BEHAVIOR = get config(p, DEFAULTS, 'error on undefined vars' 'ANSIBLE ERROR (ON UNDEFINED VARS', True, boolean-True) 

HOST KEY CHECKING = get config(p, DEFAULTS, 'host key : checking". ; 'ANSIBLE ` HOST KEY CHECKING', "True, boolean-True) 

SYSTEM WARNINGS = gets config(p, DEFAULTS, 'system | warnings', 'ANSIBLE SYSTEM | WARNINGS', True, boolean-True) 

DEPRECATION WARNINGS = get config(p, DEFAULTS, 'deprecation warnings ', 'ANSIBLE DEPRECATION WARNINGS', True, boolean-True) 

DEFAULT ' CALLABLE | WHITELIST = get config(p, DEFAULTS, ‘callable whitelist', 'ANSIBLE CALLABLE WHITELIST', [], islist-True) 

COMMAND WARNINGS = get config(p, DEFAULTS, 'command warnings', 'ANSIBLE COMMAND WARNINGS', False, boolean-True) 

DEFAULT LOAD CALLBACK PLUGINS = get config(p, DEFAULTS, 'bin ansible callbacks', 'ANSIBLE LOAD CALLBACK PLUGINS', False, boolean-True) 

DEFAULT FORCE HANDLERS = get config(p, DEFAULTS, 'force handlers' P "ANSIBLE | FORCE | HANDLERS' " False, boolean-True) 


下 面 以 Ansible 1.9 版 本 的 默认 的 ansible.cfg 进 行 解释 。 可 以 通过 如 下 网 址 https://github.coryansible/ansible/bloby/stable-1.9/examples/ansible.cfg 获 取 配 置 文件 。 配 置 文件 内 的 大 部 分 参数 也 可 
以 通过 bash 环 境 变 量 的 方式 进行 临时 定义 ， 变 量 名 为 ANSIBLE_ 加 大 写 的 配置 参数 ， 例 如 修改 Ansible 默 认 模 块 名 称 为 shell 模 块 : 


export ANSIBLE MODULE NAME-shell 


module_name 就 是 ansible.cfg 文 件 内 的 一 个 配置 参数 ， 只 需要 记 住 固定 格式 即 可 。 


defaults 配 置 块 


配置 项 
inventory 
library 
remote tmp 
Forks 
poll interval 
sudo user 
ask sudo pass 
ask pass 
transport 
remote port 
module lang 


gathering 


配置 项 
roles path 
host key checking 
sudo exe 
sudo flags 
timeout 
remote user 
log path 
module name 
executable 
hash behaviour 
jinja2 extensions 


private key file 
ansible managed 


display skipped hosts 


error on undefined vars | ”开启 错 误 ， 或 者 没有 定义 的 变量 


system warnings 
action plugins 
callback plugins 
connection plugins 
lookup plugins 
vars plugins 

filter plugins 

bin ansible callbacks 
Nocows 

Nocolor 

http user agent 
fact caching 


ansible inventory 文件 路 径 


ansible 模块 文件 路 径 


ansible 远程 机 器 脚本 临时 存放 目录 


ansible 执行 并 发 数 


ansible 异步 任务 查询 间隔 


u 
p 


ansible sudo H1 P: 


运行 ansible 是 否 提 示 输 入 sudo 密码 
运行 ansible 是 否 提 示 输 入 密码 


ansible 远程 传输 模式 
远程 主机 SSH 端口 


ansible 模块 运行 默认 语言 环境 


facts 信息 收集 开关 定义 


ansible role 存放 路 径 
SSH 主机 key 检测 
ansible sudo 执行 命令 
ansinle sudo 执行 参数 


ansible SSH 连接 超时 时 间 


ansible 远程 认证 用 户 
ansible 日 志 记 录 文 件 
ansible 默认 执行 模块 
ansible 命令 执行 shell 


ansible 主机 变量 重复 处 理 方式 
jinja2 扩展 列表 


ansible ssh 秘 钥 文件 


E 


在 jina2 中 格式 化 ansible managed 
变量 


Ja Son Ps n) EL 


开启 第 三 方 包 系 统 警告 
ansible action 插件 路 径 


ansible callback 插件 路 径 


ansible 连接 插件 路 径 
ansible lookup 插件 路 径 
ansible vars 插件 路 径 
ansible filter 插件 路 径 


开启 ansible 命令 加 载 callback 插件 
是 否 开 启 ansiblenocows 图 形 

是 否 开 启 ansible 颜色 输出 

定义 ansible 请 求 wi UA 

定义 ansible facts 缓存 方式 


默认 值 
/etc/ansible/hosts 
无 
SHOME! ansible/tmp 
5 
15 秒 


root 


22 
c 
Implicit (默认 会 收集 ) 
( 续 ) 
默认 值 
/etc/ansible/roles 
False 
sudo 
-H 
10 $F 
root 
/var/log/ansible log 
command 
[bin/sh 
replace 
jinja2.ext.do jinja2.ext.i1 8n 
Ansible managed: (file) modified on %Y-%m 
Ad %H:%M:%S by (uid) on (host) 
True 
False 
True 
/usr/share/ansible plugins/action plugins 
/usr/share/ansible plugins/callback plugins 
/usr/share/ansible plugins/connection plugins 
Jf /usr/share/ansible plugins'lookup plugins 
/usr/share/ansible plugins/vars plugins 
/usr/share/ansible plugins/filter plugins 
False 
1 
1 
ansible-agent 


memory 


privilege escalationB Etk 
配置 项 注释 默认 值 
become 是 否 开启 become 模式 True 


become method 定义 become 方式 sudo 


become user 定义 become 用 户 root 


become ask pass 是 否定 义 become 提示 密码 False 


paramiko_connection 配 置 块 


配置 项 默认 值 


record host keys 是 否 记 录 主 机 key False 
pty 是 否 开 启 命令 执行 伪 终 端 False 


ssh_connection 配 置 块 


配置 项 LITT 
ssh args -o ControlMaster-auto -o ControlPersist-60s 
control path %(directory)s/ansible-ssh-%%h-%%p-%%Tr 


scp_if ssh 是 否 开启 scp 模式 推送 脚本 True 


accelerate 配 置 块 


配置 项 默认 值 


accelerate port accelerate 远 端 监听 端口 5099 


accelerate timeout accelerate 模式 ， 超 时 时 间 30 ft 


accelerate connect timeout accelerate 模式 ， 连 接 超时 时 间 5.0 $^ 
accelerate daemon timeout accelerate 5X, demo 判断 超时 时 间 30 £^ 


accelerate multi key 定义 accelerate 模式 ， 是 否 采 用 多 key 文件 方 yes 


附录 B YAML5Jinjia 


我 们 使 用 Ansible 的 时 候 经 常 需 要 写 playbook 文 件 ， 在 编写 playbook 之 前 我 们 需要 了 解 下 playbook 文 件 的 格式 。Ansible 的 playbook 文 件 内 容 格 式 都 是 采用 YAML 标 记 语 言 去 表达 的 ， 所 以 如 果 熟 悉 
YAML 标 记 语言 对 以 后 编写 playbook 会 事半功倍 。 


在 使 用 Ansible 进 行文 件 管理 的 时 候 ， 经 常会 采用 以 管理 模板 文件 方式 去 管理 ， 这 样 我 们 可 以 方便 地 维护 一 个 模板 文件 去 实现 对 不 同 需求 的 管理 。Ansible 默 认 使 用 的 模板 引 警 语言 是 jinja， 这 是 一 个 功 
能 强大 的 Python 模 板 引擎 语言 。 本 附录 将 介绍 YAML 与 Jinjia。 


YAML 标 记 语 言 


Ansible 默 认 会 使 用 PyYAMI Python 库 解析 playbook 的 YAML 文 件 内 容 。 当 然 YAML 标 记 语言 还 支持 其 他 语言 去 解析 。 本 附录 只 会 围绕 PyYAML 库 进行 介绍 。 


基本 语法 例子 


实例 1: # cat test.yaml 


=t 
- 'two' 
- ['three','four'] 


= ('five': 'six'] 

# python 

>>> import yaml 

>>> print yaml.load(open('./test.yaml', "r").read()) 

[1, 'two', ['three', 'four'], [('five': 'six']] # 打印 结果 


以 上 实例 中 -定义 的 值 经 过 PyYAML load 后 转换 为 Python 的 list 数 据 类 型 。 


实例 2: # cat test.yaml 


one: 1 

two: 'two' 

three: ['four','five'] 
Six: ('seven': 'eight'] 
# python 


>>> import yaml 


>>> print yaml.load(open('./test.yaml', "r").read()) 
['six': ('seven': 'eight'), 'three': ['four', 'five'], 'two': 'two', 'one': 1} # 打印 结果 
YAML 定 义 的 k/v 值 对 经 过 PyYAML load 后 转换 为 Python 的 dict 数 据 类 型 。 
下 面 的 例子 是 对 上 面 两 种 YAML 标 记 形 式 进行 汇总 : 
# cat test.yaml 
one: 
=E 
- 'two' 
- ['three','four'] 
= ('five':'six'] 
two: 
-2 
- 'two' 
- ['three','four'] 
- ('five':'six') 
# python 
>>> import yaml 
>>> print yaml.load(open('./test.yaml',"r").read()) 
['two': [2, 'two', ['three', 'four'], [('five': 'six']], 'one': [1, 'two', ['three', 'four'], [('five': 'six')] # 打印 结果 
YAML 缩 进 符号 


YAML 除 了 支持 默认 的 缩 进 符号 还 支持 > 和 | 两 种 方式 。 这 两 种 方式 一 般 


定义 ， 例 如 : 


于 多 行文 本 定义 。 定 义 的 值 经 过 YAML load 之 后 都 是 Python 的 str 数 据 类 型 。 所 以 这 两 种 缩 进 符号 一 般 可 以 


作 于 具 


有 多 行 值 的 


# cat test.yaml 


one: > 
1 
two: » 
'two' 
three: | 
['four','five'] 
six: | 
[('seven': 'eight']) 
# python 


>>> import yaml 
>>> print yaml.load(open('./test.yaml',"r").read()) 
[('one': '1\n', 'six': "('seven': 'eight')]Mn", 'three': 


['four', 


'five']Mn", 'two': "'two'\n"} 


# 打印 结果 


下 面 我 们 来 看 一 个 简单 的 例子 ， 编 写 多 行 的 shell 命 令 ， 最 后 Ansible 会 把 参数 读 作 : 


解 。 


for i in (1http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/..10); do touch /tmp/Si; done 的 字符 串 进行 运行 。 


# cat test.yaml 


for i in (Ihttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/..10); 


- hosts: all 
tasks: 
- name: test 
shell: » 
do 
touch /tmp/$i; 
done 


Jinja 模 板 语言 


for if 语法 ， 等 等 。 在 使 用 Ansible 的 时 候 ， 一 般 会 用 到 Jinja 的 filter 以 及 一 些 for 和 if 判断 语法 。 关 于 Jinja 的 filter 前 


Jinja 模 板 引擎 在 前 面 第 6 章 “ 扩 | 


H 


BRE. 


for 循 环 和 if 判 断 


Jinja 的 for 循 环 和 if 判 断 语 法 和 Python 语 法 一 样 : 


EF 要 我 们 需要 了 解 YAML 标 记 语言 相关 的 变量 定义 以 及 转换 到 Python 之 后 的 数据 类 型 。 更 多 PyYAML 相 关 的 知识 大 家 可 以 通过 官网 (http://pyyaml.org/wiki/PyYAMLDocumentation) 进行 学 习 和 了 


展 Ansible 组 件 ” 中 已 经 介绍 过 ， 其 实 Jinja 还 有 很 多 强大 的 功能 ， 如 果 熟 悉 Flask Web 框 架 ， 都 会 了 解 Jinja 的 一 些 功 能 ， 比 如 基本 的 filter 和 模板 继承 ， 以 及 Jinja 的 一 些 


的 章节 已 经 介绍 过 了 ， 本 附录 只 介绍 Jinja 的 一 些 常用 语法 。jJinja 的 语法 默认 都 是 在 {%%} 


($ set list- ['one', 'two', 'three'] %} 
($ for i in list %} 
ti 
($ endfor $) 
{gs set list- ['one', 'two', 'three'] %} 
($ for i in list $] 
($ if i == 'one' or i.startswith == 'two' %} 
PERRE > i J} 
($ elif loop.index == 2 $) 


» (tin 


for key, value in dict.iteritems() $) 
{{ key }} ----> {{ value }} 
endfor $) 


for dict in dicts %} 


{{ dict['key'] }} 
{% endfor %} 
Jinja 中 可 以 使 用 set 定 义 临时 变量 ， 也 可 以 直接 使 用 Ansible 其 他 地 方 定义 变量 。 关 于 Jinja 变 量 的 引用 都 是 采用 {{ 变 量 名 的 方式 ， 当 然 里 面 还 可 以 根据 变量 名 数据 类 型 选择 你 想 要 的 信息 ， 比 如 dict= 


{key': 'value'}， 直 接 {{idct 会 返回 一 个 python dictis, WRR key MHA, DuEXSS((dict['key']yst;é((dict.get 
Python 的 逻辑 判断 and or not 在 Jinja 的 判断 中 也 可 以 直接 使 用 。 


空白 控制 


Jinja 默 认 {%96}] 定 义 的 行 渲染 后 都 是 空格 ， 只 需 在 {%96} 中 使 用 -符号 即 可 控制 空白 输出 : 


($ set list- ['one', 'two', 'three'] %} 
[5 for i in list $} 
(Cin 


{% endfor %} 


Ckey') }。 其 实 这 些 都 是 Python 的 标准 用 法 ， 在 jinja 里 面 也 可 以 直接 使 用 。 


比如 上 面 的 模板 默认 演 染 出 来 的 格式 如 下 : 


one 
two 
three 


如 果 想 实现 在 同一 行 显示 ， 只 需 修改 模板 如 下 即 可 : 


($ set list- ['one', 'two', 'three'] %} 
{% for i in list -$) 
(Cip 


[$- endfor %} 


注释 


# 注 释 即 可 ， 但 是 # 注 释 的 地 方 要 加 在 大 括号 0 内 ， 例 如: 


Jinja 的 注释 也 非常 简单 ， 直 接 使 


{# note: disabled template because we no longer user this 
[5 for user in users %} 


http: //www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/15658/OEBPS/Text/... 


[5 endfor %} 
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直接 运算 


Jinja 除 了 filter 能 对 变量 进 : 
学 运算 。 当 然 jinja 还 支持 +-***// 数 学 运算 。 


其 他 高 级 功能 


Jinja 还 有 很 多 其 他 高 级 功能 ， 比 如 前 面 章节 介绍 的 过 滤器 、 模 板 继承 、 子 模板 、 宏 ， 因 


(http://jinja.pocoo.org/docs/dev/) 进行 进一步 学 习 。 


进行 格式 化 或 者 加 工 ， 还 支持 直接 对 变量 的 值 进行 数学 运算 ， 比 如 想 通 过 facts 得 到 一 台 机 器 内 存 总 和 的 一 半 ， 可 以 直接 在 Jinja 模 板 通 过 {fansible_memtotal_mb/2lintp 进 行 数 


为 这 些 功能 在 结合 Ansible 使 用 时 并 不 常见 ， 所 以 这 里 就 不 进行 介绍 了 。 感 兴趣 的 读者 可 以 通过 官网 


附录 C ”Ansible pull 模 式 


本 书 前 面 所 有 章节 介绍 的 都 是 Ansible 的 push 模 式 ， 这 也 是 Ansible 最 常用 的 一 种 使 有 


低 。 这 个 问题 确实 是 存在 ， 尽 管 你 对 Ansible 进 行 一 些 简单 的 优化 ， 但 是 如 果 每 次 操作 目标 机 器 数目 过 大 的 话 ，push 模 式 的 效率 就 会 显 : 


命令 都 在 ansinle-pull 命 令 下 完成 。 这 种 模式 类 似 于 多 人 台 机 器 只 针对 自己 本 身 进行 配置 管理 。 


Ansible pull 模 式 流程 


Ansible pull 模 式 运行 需要 一 个 git 仓 库 ， 这 个 仓库 会 存放 Ansible pull 模 式 运行 时 所 需 的 所 有 文件 ， 包 括 Ansible 的 


模式 ， 在 这 种 模式 下 读者 经 常会 问 ， 一 台 Ansible 如 果 管 理 的 目标 机 器 过 多 的 话 ， 整 个 Ansible 的 效率 是 不 是 会 很 


得 很 低 。 其 实 Ansible 还 有 一 种 模式 叫 pull 模 式 ，pull 模 式 的 所 有 操作 


inventory 和 playbook 文 件 。 目 标 机 器 上 会 定时 (用 crond) 到 git 仓 库 内 拉 取 文件 ， 然 


Ansible 的 local 方 式 进行 本 机 管理 ， 流 程 如 图 C-1 所 示 。 


后 指定 inventory 文 件 运行 相关 的 playbook 文 件 。 这 个 playbook 文 件 一 般 只 是 针对 本 机 进行 配置 管理 ， 这 里 一 般 会 采 


git 仓库 | ansible-pull 
productlon 分 支 | 4 w 
| ' 


staging 分 支 | 


ansible-pull 


. Web 服务 器 主机 


图 C-1 Ansible pull 模 式 流 程 图 
ansible-pull 命 令 参数 


命令 用 法 : ansible-pull[ 参 数 ][playbook.yml] 


3 


--accept-host-key 接受 git 仓 库 hostkey 

-K, --ask-sudo-pass ”提示 sudo 密 码 

-C CHECKOUT, --checkout-CHECKOUT checkout 到 git 仓 库 指定 分 支 或 者 tags 
-d DEST, --directory-DEST 拉 取 git 仓 库 到 指定 目录 

-e EXTRA VARS, --extra-vars-EXTRA VARS 传 入 变量 

-f, --force 强制 运行 palybook (如 果 git 仓 库 没有 变更 ) 

-h, --help 帮助 信息 

-i INVENTORY, --inventory-file-INVENTORY ”指定 inventory 文 件 
--key-file-KEY FILE 指定 拉 取 git 食 库 ssh 证 书 文件 

-m MODULE NAME, --module-name-MODULE NAME 指定 模块 操作 git 仓 库 
-o, --only-if-changed 只 有 gjit 仓 库 有 变更 时 才 运 行 pPLaybook 

--purge 运行 Playbook 后 purge 

-s SLEEP, --sleep-SLEEP sleep 多 少 秒 后 再 运行 

-t TAGS, --tags-TAGS 运行 playbook 指 定 tags 

-U URL, --url-URL git 仓 库 URL 地 址 
--vault-password-file-VAULT PASSWORD FILE ansible vault 密码 文件 
-v, --verbose ansible-playbook debug X, 


ansible-pull 简 单 案例 


由 于 Ansible pull 模 式 使 用 非常 简单 ， 只 需要 把 ansible-pull 命 令 以 及 相关 参数 放 到 定时 任务 即 可 。 下 面 我 们 来 简单 看 下 git 仓 库 目 录 结构 ， 当 然 这 里 大 家 可 以 按照 自己 的 需求 去 扩展 这 些 playbook， 这 里 
的 playbook 跟 本 书 前 面 章节 介绍 的 没有 任何 区 别 。 


下 面 我 们 来 看 下 git 仓 库 里 面 的 文件 结构 : 


[root@shencan]# tree 
hosts |——— local.yaml 
db 


L— files 


roles 


tasks 


| —— — templates 
l web 
L— files 
| 一 tasks 


templates 
9 directories, 2 files 
[root@shencan]# cat hosts 
localhost 
[root@shencan]# cat local.yaml 
hosts: localhost 
connection: local 
roles: 
- "(( role }}" 


然后 我 们 在 机 器 的 crontab 文 件 添加 定时 任务 即 可 : 


*/10 * * * * /usr/bin/ansible-pull -o -C master -d /var/ansible/gitrepo -i /var/ansible/gitrepo/hosts -U git8www.shencan.net:shencan/ansible-pull.git -e "role-db" >> /va 


附录 D 


SSH Forward 模 式 


在 绝 大 数 互 联网 公司 为 了 统一 管理 服务 器 登录 以 及 相关 权限 管理 ， 都 会 采用 通过 跳板 机 方式 登录 服务 器 ， 而 且 服 务 器 必须 通过 跳板 机 才能 登录 。 运 维 人 员 经 常 要 管理 一 大 批 机 器 ， 而 且 跳 板 机 是 公共 服 


务 设 备 ， 所 以 每 个 人 的 权限 都 被 束缚 着 ， 特 别 是 很 多 Mac 系 统 和 Ubuntu 系统 用 户 ， 喜 欢 


自己 的 环境 维护 一 些 项 目 。 这 个 时 候 想 直接 通过 本 机 直接 管理 线 上 的 服务 器 ， 由 于 服务 器 受到 跳板 机 的 登录 限 


制 ， 导 致 我们 不 能 直接 通过 本 机 电脑 管理 目标 服务 器 。 很 多 公司 不 同 的 IDC 机 房 之 间 也 做 了 类 似 的 安全 限制 ， 比 如 你 想 登录 某 个 IDC 机 房 的 服务 器 就 必须 得 先 登录 到 该 IDC 机 房 内 的 一 台 跳 板 机 ， 然 后 才能 
录 服 务 器 。 这 种 多 层 网 络 架构 对 于 配置 管理 工具 而 言 ， 确 实 不 好 直接 进行 管理 ， 但 是 都 可 以 通过 相关 代理 技术 或 者 软件 自身 多 层 架构 进行 管理 。 例 如 可 以 使 用 Nginx 代 理 Puppet 服 务 器 实现 夸 机 房管 理 ， 而 


SaltStack 软 件 自 带 Syndic 多 层 网 络 架构 解决 方案 。 不 过 Ansible 默 认 没有 类 似 的 解决 方案 。 


因为 Ansible 默 认 使 用 SSH 服 务 进行 远程 管理 ， 如 果 想 要 Ansible 能 实现 跨 机 房 的 解决 方案 ， 首 先 我 们 得 想 办 法 解决 SSH 服 务 是 否 可 行 。 其 实 SSH 自 带 一 种 叫 Agent Forward 模 式 ， 如 图 D-1 所 示 ， 我 需要 


通过 Jumpbox 的 Agent Forward 模 式 管理 hosts 主 机 。 下 面 我 们 通过 一 个 实例 来 配置 SSH 的 Forward 模 式 。 


配置 很 简单 只 需要 在 Mac 系 统 上 修改 SSH 客 户 端 配置 文件 ， 然 后 保证 Mac 系 统 免 密 登录 Jumpbox 机 器 : 


inac o5 


hosti 


host2 


I 
Jumpbox host3 


host4 


图 D-1 Forward X 


Host * 
Protocol 2 
Host 10.64.115.27 
ForwardAgent yes 
ProxyCommand ssh shencan610.0.0.1 nc $h $p 
User shencan 
IdentityFile /Users/shencan/key/ jumpbox. key 


上 面 的 配置 表示 10.64.115.27 是 远程 主机 ，10.0.0.1 是 Jumpbox 机 器 。 通 过 shencanj 
10.64.115.27 主 机 。 


下 面 需要 Ansible 程 序 引用 这 个 SSH 客 户 端 文件 。 修 改 ansible.cfg 中 的 ssh_connection 


户 免 密 连接 10.0.0.1， 然 后 Jjumpbox 通 过 shencan 用 户 的 /Users/shencan/key/jumpbox.key 私 钥 文件 登录 


配置 项 的 ssh_args 的 参数 : 


ssh args = -o ControlMaster-auto -o ControlPersist-60s -F /Users/shencan/.ssh/config 


-F 表 示 引 用 上 面 定义 的 SSH 客 户 端 配置 文件 ， 然 后 我 们 指定 目标 主机 运行 Ansible 即 可 : 


ansible -i hosts 10.64.115.27 -u shencan -a 'df -h' 
10.64.115.27 | success | rc-0 >> 

Filesystem Size Used Avail Use$ Mounted on 
/dev/sda2 3.6T 415G 3.27 12% / 

tmpfs 63G 0 63G 0% /dev/shm 


